Обновляйте Notepad++: баг в config.xml открывал путь к выполнению кода

Екатерина Быстрова 28 Мая 2026 - 18:24

Домашние пользователи

...

Разработчики Notepad++ выпустили версию 8.9.6.1, закрыв сразу несколько уязвимостей, включая опасные баги, которые при определённых условиях позволяли выполнить произвольный код.

Обновление вышло 26 мая 2026 года. В нём исправлены три уязвимости: CVE-2026-48770, CVE-2026-48778 и CVE-2026-48800.

Проблемы затрагивают версии Notepad++ вплоть до 8.9.6 и в основном связаны с тем, как приложение обрабатывает конфигурационные файлы.

Самая серьёзная из них — CVE-2026-48778. Уязвимость находится в механизме обработки файла config.xml, а точнее параметра <GUIConfig name="commandLineInterpreter">. Notepad++ считывал это значение без нормальной проверки, контроля белого списка и проверки целостности, а затем использовал его при запуске функции «Открыть директорию в cmd».

В результате злоумышленник мог подменить исполняемый файл, который запускается через Notepad++. В демонстрационном сценарии в конфигурацию подставляли calc.exe, после чего вместо командной строки открывался калькулятор Windows. Сам по себе калькулятор, конечно, никого не пугает, но смысл PoC предельно понятен: вместо него можно подсунуть куда менее безобидный исполняемый файл.

Для эксплуатации уязвимости требуется действие пользователя. Атакующий может изменить файл %APPDATA%\Notepad++\config.xml в контексте текущего пользователя, раздать вредоносный ярлык с параметром -settingsDir, указывающим на подконтрольную директорию, или отравить синхронизируемые через облако конфигурации.

Есть и более приземлённый вариант: социальная инженерия. Пользователя можно убедить распаковать подготовленный архив в нужное место внутри AppData, а дальше Notepad++ сам аккуратно подхватит изменённые настройки.

Помимо CVE-2026-48778, обновление закрывает ещё две проблемы. CVE-2026-48770 связана с аварийным завершением работы при обработке некорректных структур и может приводить к отказу в обслуживании. CVE-2026-48800 описана как ещё одна уязвимость выполнения произвольного кода, связанная с неправильной обработкой файла shortcuts.xml.

Пользователям и организациям рекомендуется как можно быстрее обновить Notepad++ до версии 8.9.6.1.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Июня 2026 - 10:03

Домашние пользователи Защита персональных данных

WhatsApp готовит для iPhone текстовые сообщения, открывающиеся один раз

В WhatsApp (принадлежит признанной экстремистской организацией корпорации Meta, запрещенной в России) продолжают экспериментировать с функциями для любителей конфиденциальности. Несколько недель назад стало известно, что мессенджер тестирует сообщения, которые исчезают сразу после прочтения. Теперь разработчики пошли ещё дальше.

Как сообщает WABetaInfo, в WhatsApp работают над функцией одноразовых текстовых сообщений. По сути, это аналог режима «просмотреть один раз», который уже давно доступен для фотографий, видео и голосовых сообщений.

Судя по данным из тестовых сборок, отправить такое сообщение можно будет через дополнительное меню. После набора текста пользователю предложат удержать кнопку отправки и выбрать пункт Send as view once. Собеседник сможет открыть сообщение только один раз. После прочтения оно станет недоступным и исчезнет из чата.

Функция будет работать как в личных переписках, так и в групповых чатах. А вот для каналов её внедрять не планируют — логика публичных публикаций плохо сочетается с одноразовыми сообщениями.

Интересно, что сейчас некоторые пользователи уже обходят отсутствие такой возможности довольно странным способом: пишут текст на изображении и отправляют картинку в режиме однократного просмотра. Новая функция должна избавить от подобных костылей.

Параллельно WhatsApp продолжает развивать и обычные исчезающие сообщения. Помимо существующих таймеров на 24 часа, 7 дней и 90 дней, разработчики готовят режим After reading, при котором сообщение будет удаляться сразу после прочтения адресатом.

Пока одноразовые текстовые сообщения ещё не доступны даже большинству бета-тестеров. Однако появление функции в тестовых сборках обычно означает, что до публичного запуска остаются считаные месяцы.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!