Güvenlik araştırmacıları, CVE-2025-56383 olarak izlenen Notepad ++ sürüm 8.8.3’te kritik bir DLL kaçırma güvenlik açığı belirlediler.
Bu kusur, saldırganların aynı dışa aktarma işlevlerini koruyan kötü amaçlı sürümlerle uygulamanın eklenti dizinindeki meşru Dinamik Bağlantı Kütüphanesi (DLL) dosyalarını değiştirerek keyfi kod yürütmelerini sağlar.
Teknik detaylar
Güvenlik açığı özellikle Notepad ++ ‘nın eklenti sistemini, özellikle NOPEXPORT.DLL dosyasını Notepad ++ \ eklentileri \ nppexport \ dizininde hedefler.
Saldırganlar, aynı anda zararlı kod yürütürken, orijinal DLL’ye çağrıları ileten aynı dışa aktarma işlevlerine sahip kötü amaçlı bir DLL dosyası oluşturarak bu zayıflıktan yararlanabilir.
| CVE kimliği | Etkilenen ürün | Güvenlik Açığı Türü | CVSS 3.1 puanı |
| CVE-2025-56383 | Notepad ++ v8.8.3 (ve potansiyel olarak diğer sürümler) | DLL Kaçırma | 7.8 (Yüksek) |
Kullanıcılar Notepad ++ ‘ı başlattığında, uygulama otomatik olarak bu eklenti DLL’lerini yükler ve kötü amaçlı kod yürütme için bir fırsat sağlar.
Saldırı yöntemi, orijinal DLL dosyasının meşru görünen ancak gömülü kötü niyetli işlevsellik içeren hazırlanmış bir sürümle değiştirilmesini içerir.
Başarılı sömürü, saldırganların yerel dosya sisteminin erişimine ve Notepad ++ yükleme dizinindeki dosyaları değiştirme yeteneğine sahip olmasını gerektirir.
Bu, saldırganların zaten bir miktar sistem erişimine sahip olduğu senaryolarla saldırı kapsamını sınırlarken, etkili bir ayrıcalık artışı veya kalıcılık mekanizması olarak hizmet edebilir.
Güvenlik açığı, önemli güvenlik sonuçlarını gösteren 7,8 (yüksek) CVSS 3.1 puanı verilmiştir.
Saldırı vektörü, düşük ayrıcalıklar ve kullanıcı etkileşiminin başarılı olmasını gerektiren düşük karmaşıklığa sahip yerel olarak sınıflandırılır.
Güvenlik Araştırmacısı Zer0T0, GitHub’da güvenlik açığının nppexport.dll eklentisi kullanılarak nasıl kullanılabileceğini gösteren bir kavram kanıtı gösterisi yayınladı.
Gösteri, orijinal DLL’nin orijinal-nppexport.dll adlı kötü amaçlı bir sürümle değiştirilmesini içerir.
Hiçbir resmi yama yayınlanmamış olsa da, kullanıcılar Notepad ++ ‘ı gayri resmi kaynaklardan indirirken veya güvenilmeyen yazılımların sistemlerini değiştirmesine izin verirken dikkatli olmalıdır.
Kuruluşlar, eklenti DLL dosyalarında yetkisiz değişiklikler için not defterini ++ kurulumlarını izlemelidir.
Güvenlik açığı sadece 8.8.3 sürümünü değil, benzer eklenti yükleme mekanizmalarını kullanan potansiyel olarak NotePad ++ sürümlerini de etkiler.
Kullanıcılar eklenti dosyalarının bütünlüğünü doğrulamalı ve Notepad ++ Kurulum Dizini’ne yazma erişimini kısıtlamayı düşünmelidir.
Bu keşif, güvenli uygulama tasarımının önemini ve harici bileşenleri yükleyen yazılımlarda sağlam dosya bütünlüğü doğrulaması ihtiyacını vurgulamaktadır.
Notepad ++ çeşitli ortamlarda yaygın olarak kullanıldığından, bu güvenlik açığını ele almak hem kullanıcılar hem de geliştirme ekibi için bir öncelik olmalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.