Notepad++自動更新通道遭劫持,v8.8.9起強制驗證數位簽章防竄改
更新機制遭攔截與竄改風險
知名文字編輯器Notepad++的內建自動更新元件WinGUp,其更新流量曾遭攔截並被重新導向,少數用戶在更新過程中可能因此下載到遭竄改的安裝程式。
安全修補措施
- v8.8.8版本:修改下載源與URL域名,降低被劫持與濫用的可能性。
- v8.8.9版本:在下載結果上加入數位簽章與憑證校驗,即使更新路徑被劫持,也能阻止惡意安裝包的執行。
專家評論與建議
資安專家指出,攻擊者可利用此漏洞在特定地區攔截網路流量,並在使用者更新軟體時「投毒」,偷偷將惡意軟體安裝至設備。
官方建議用戶應手動更新,以避免內建自動更新機制下載到被竄改的軟體。