De opensource code-editor Notepad++ sleutelt aan de beveiliging, nadat de tool maandenlangs misbruikt werd door Chinese hackers.
Notepad++ kondigt een nieuwe release van de tekst- en codeeditor aan. Versie 8.9.2 moet voor extra beveiliging zorgen en komt niet toevallig enkele weken nadat bekend werd dat Notepad++ maandenlang misbruikt werd door Chinese hackers.
Dubbel slot op de deur
Notepad++ hanteert voortaan een ‘dubbele slot’-principe om te vermijden dat dit nog eens kan gebeuren. Er worden nu 2 onafhankelijke handtekening- en certificaatverificaties uitgevoerd. Een eerste verificatie van de ondertekende XML komt er als aanvulling op de verificatie van het ondertekende installatieprogramma van github.com, die al in versie 8.8.9 geïmplementeerd is. Dit moet leiden tot een robuuster updateproces dat ‘niet exploiteerbaar’ is, aldus Notepad++.
De update bevat nog bijkomende beveiligingsmaatregelen. Twee onbeveiligde CURL SSL-opties worden opgekuist en de afhankelijkheid van libcurl.dl is verwijderd om het risico op DLL-sideloading te verminderen. De uitvoering van plug-inbeheer is beperkt tot programma’s die zijn ondertekend met hetzelfde certificaat als het auto-updatesysteem WinGUp.
Chinese hackers
Recent werden enkele hiaten in de beveiliging van Notepad++ blootgelegd. Chinese hackers misbruikten de code-editor maandenlang als achterpoortje om malware op apparaten van gebruikers te installeren. Het duurde bijna een half jaar voordat Notepad++ zijn omgeving weer op orde wist te krijgen. Notepad++ heeft de kwetsbaarheden gerepareerd en besloot na het voorval ook van hostingprovider te wisselen.
Deze update dicht de achterpoortjes en moet het moeilijker maken om de editor nog uit te buiten. Notepad++ adviseert om de update zo snel mogelijk te installeren, en dat enkel via het officiële kanaal. De opensource code-editor is beschikbaar op Windows in 90 talen.