Not Defteri ++ yükleyicisindeki yüksek şiddetli bir güvenlik açığı (CVE-2025-49144), ayrıcalıklı olmayan kullanıcılar tarafından güvensiz yürütülebilir arama yolları aracılığıyla sistem düzeyinde ayrıcalıklar elde etmek için kullanılabilir.
Şu anda güvenlik açığının saldırganlar tarafından kaldırıldığına dair bir gösterge yoktur, ancak teknik detaylar ve bir kavram kanıtı (POC) yayınlanmış ve güvenlik nedenleriyle kısa bir süre sonra düzeltilmiştir.
CVE-2025-49144 HAKKINDA
Notepad ++, Windows için popüler ücretsiz ve açık kaynaklı bir metin ve kaynak kodu düzenleyicisidir.
CVE-2025-49144, V8.8.1’e kadar ve dahil olmak üzere Notepad ++ sürümlerini etkileyen ve saldırganların hedef sistemlerde kötü niyetli yürütülebilir ürünleri gizlice çalıştırmasına izin verebilecek yerel bir ayrıcalık artış kusurudur.
“Bir saldırgan, kullanıcıları hem meşru yükleyiciyi hem de aynı dizine (genellikle Downloads klasörü – Korunmasız Dizin olarak bilinen) indirmek için kullanıcıları kandırmak için sosyal mühendislik veya tıklama kullanabilir” diye açıklıyor.
(Savunmasız) yükleyici çalıştırılırsa, yürütülebilir dosyayı sistem ayrıcalıklarıyla da yükler.
Güvenlik açığı, güvenlik araştırmacıları Shashi Raj, Yatharth Tyagi ve Kunal Choudhary tarafından ortaya çıkarıldı ve özel olarak Notepad ++ Geliştirici / Bakımcı Don Ho’ya açıklandı.
Yardım Net Security’ye verdiği demeçte, “Bu güvenlik açığını Windows’taki ayrıcalık artışı için DLL kaçırma ile uğraşırken keşfettik. Notepad ++ özellikle hedeflenmedi – ortak uygulama kurulum kalıplarını analiz ederken bu sorunu belirledik” dedi.
Güvenlik açığını ele alan bir taahhüt zaten yapılmıştır, ancak düzeltme ile kararlı bir not defteri ++ sürümü hala gelen.
Ne yapalım?
Raj, “Yamalar yaygın olarak konuşlandırılmadan önce silahlanmayı önlemek için danışma ayrıntılarının geçici olarak düzeltilmesini istedik” dedi. “Kamuoyunun farkındalığını güvenlik ile dengeleyen koordineli açıklamaya inanıyoruz. Yamalı versiyon yeterli dağıtım sağladığında güvenlik açığı ayrıntıları geri yüklenecek.”
Notepad ++ geliştiricisi Don Ho, Notepad ++ V8.8.2’nin yayınlanmasındaki gecikmenin, kod imzalama sertifikası ile bir hıçkırıktan kaynaklandığını ve bir hafta içinde piyasaya sürüleceğini doğruladığını açıkladı.
Yetkili, sertifikayı şu anda yenilememesi nedeniyle, bu sürümün imzalanmayacağını da sözlerine ekledi. “Bununla birlikte, V7.6.6’dan beri, GPG imzaları her zaman Notepad ++ salınan ikili dosyalara dahil edildiğinden, indirilen dosyaların özgünlüğünü doğrulamak için GPG4WIN veya Kleopatra’yı kullanabilirsiniz.”
(Bu arada bir sürüm adayı indirilebilir.)
Ancak yazılımın kullanıcı ve kötü amaçlı yazılım satıcıları ile popülaritesi göz önüne alındığında, bu güvenlik açığı, ikincisinin araç setine bir başka hoş geldiniz olabilir.
Kullanıcıların yayınlandığında sabit Not Defteri ++ sürümüne yükseltmeleri tavsiye edilir. Potansiyel kullanıcılara yazılımı yalnızca resmi Notepad ++ sitesinden indirmeleri ve çalıştırmadan önce her zaman açık kaynak indirmelerini doğrulamaları tavsiye edilir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!