Přejít k navigační liště

Zdroják » Zprávičky » Notepad++: Hackeři přesměrovali aktualizace softwaru

Notepad++: Hackeři přesměrovali aktualizace softwaru

Zprávičky Různé

Nálepky:

Vývojář populárního textového editoru Notepad++ zveřejnil podrobnosti o závažném bezpečnostním incidentu, při kterém byly aktualizace jeho programu hijacknuty a určité verze softwaru mohly být nahrazeny škodlivými instalačními soubory, které si někteří uživatelé mohli stáhnout a spustit. Podle oficiálního vysvětlení k této události šlo o kompromitaci infrastruktury u externího poskytovatele hostingu, nikoli o chybu v jádře samotného Notepad++.

Podle popisu tvůrce Don Ho útočníci získali přístup k serverům, které zpracovávaly požadavky na aktualizace softwaru, a mezi červnem a 2. prosincem 2025 dokázali přesměrovat aktualizační provoz na své servery. Tam mohli některým uživatelům nabídnout kompromitované instalační soubory místo legitimních aktualizací. Tento útok byl cílený na vybrané uživatele, nikoli plošný pro všechny.

Incident se netýkal přímé zranitelnosti kódu Notepad++, ale slabiny v tom, jak updater (WinGUp) ověřoval integritu a autenticitu stahovaných souborů. U starších verzí nebylo ověřování dostatečně přísné, takže útočníci mohli manipulovat s prezentovanými aktualizacemi.

Bezpečnostní výzkumníci a projektový tým incidentu přisuzují vysokou pravděpodobnost, že za útokem stál pravděpodobně Čínou sponzorovaný aktér/ři. Tato klasifikace vychází z precizního cílení a způsobu provedení útoku, i když přímé důkazy o autorství nejsou zveřejněny.

V reakci na incident byl oficiální web Notepad++ přesunut k novému poskytovateli hostingu s posílenými bezpečnostními opatřeními a aktualizátor byl upraven tak, aby ověřoval digitální certifikáty a podpisy souborů, čímž se podobnému zneužití brání. Tato kontrola je nyní vynucena od verze 8.8.9 a dále, a další bezpečnostní prvky budou zpřísněny v připravované verzi 8.9.2.

Uživatelům se doporučuje nainstalovat nejnovější oficiální verzi Notepad++ ze stránek projektu, ověřit platnost digitálních podpisů instalátorů a vyvarovat se spouštění binárních souborů z neoficiálních zdrojů.

Zde odkládám link na bezpečnou verzi Notepadu++: https://notepad-plus-plus.org/downloads/v8.9.1/

Student se zájmem o IT, programování a kybernetickou bezpečnost. Baví mě se učit novým věcem a posouvat své schopnosti dál. Když zrovna nesedím u kódu, věnuji se fitness a počítačovým hrám.

Komentáře

Odebírat
Upozornit na
guest
0 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
Zobrazit všechny komentáře

EmDash: Duchovní nástupce WordPressu, který řeší bezpečnost pluginů

Webový vývoj
Komentáře: 0
Cloudflare přichází s ambiciózním projektem EmDash, který chce přepsat pravidla správy webového obsahu a nahradit dlouholetou dominanci WordPressu. Nový open source CMS, vytvořený za pouhé dva měsíce s pomocí AI, sází na moderní architekturu, důraz na bezpečnost i monetizaci a řeší klíčové problémy, které WordPress provázejí už desítky let.

Project Glasswing: Anthropic mění pravidla kybernetické bezpečnosti

AI
Komentáře: 0
Nový AI model Claude Mythos Preview dokáže autonomně nacházet bezpečnostní díry v každém hlavním operačním systému i prohlížeči – včetně zranitelností starých desítky let, které přežily miliony automatizovaných testů. Anthropic se rozhodl tuto schopnost nasadit jako nástroj obrany a svolal koalici dvanácti technologických gigantů – od Amazonu přes Microsoft až po JPMorganChase. Se závazkem 100 milionů dolarů a přístupem pro více než 40 organizací spravujících kritickou infrastrukturu je Project Glasswing závodem s časem: zajistit, aby obránci byli s těmito schopnostmi dřív než útočníci.

Git Worktree + Claude Code: paralelní vývoj a AI agenti ve více větvích najednou

Webový vývoj
Komentáře: 0
Git worktree posouvá práci s větvemi na úplně jinou úroveň – místo neustálého přepínání a stashování nabízí paralelní pracovní prostředí nad jedním repozitářem. V kombinaci s nástroji jako Claude Code navíc otevírá dveře k běhu více AI agentů současně, každý izolovaně ve své větvi, bez kolizí a zbytečné režie.

Sledujte Zdroják: