ARENA DECRYPT

YOOTA

🇬🇧 🇺🇸

Notepad++ nel mirino: hacker di Stato hanno dirottato gli aggiornamenti per mesi

Notepad++ v8.9.2: doppia verifica e addio alla falla degli aggiornamenti

— da

sakurambo
in

Qualche tempo fa Notepad++ finì nel mirino di un attacco piuttosto sofisticato: il meccanismo di aggiornamento automatico del programma venne compromesso da hacker legati a uno stato, che riuscirono a sostituire i file legittimi con versioni manomesse. Un episodio che aveva fatto parecchio rumore, e che il team di sviluppo aveva già iniziato ad affrontare nelle versioni precedenti.

Con la versione 8.9.2, il cerchio si chiude.

Il “doppio lucchetto” che protegge gli aggiornamenti

Il problema originale stava nel fatto che il processo di aggiornamento non verificava in modo sufficientemente robusto l’autenticità dei file che scaricava. La risposta del team è stata costruire quello che loro stessi chiamano un sistema a “doppio blocco”: due verifiche indipendenti, una sull’altra.

La prima, già introdotta nella v8.8.9, riguarda il pacchetto di installazione scaricato da GitHub, che adesso viene verificato tramite firma digitale. La seconda, novità di questa 8.9.2, riguarda il file XML che il server di aggiornamento invia al programma per comunicargli che esiste una nuova versione: anche quello è ora firmato e verificato. In questo modo, anche se un malintenzionato riuscisse a intercettare uno dei due passaggi, l’altro blocco terrebbe.

Oltre a questo, anche WinGUp, il componente che gestisce gli aggiornamenti automatici, è stato irrobustito: rimossa la dipendenza da libcurl.dll (un vettore classico per attacchi di tipo DLL side-loading), eliminate due opzioni SSL considerate rischiose, e la gestione dei plugin è ora riservata esclusivamente ad applicazioni firmate con lo stesso certificato di Notepad++.

Cos’altro c’è nella 8.9.2

Sul lato funzionalità, arriva la possibilità di “oscurare” una selezione di testo, utile ad esempio per condividere screenshot senza mostrare parti sensibili del documento. Completano il quadro alcune correzioni di stabilità e ulteriori fix di sicurezza.

Chi preferisce non usare l’aggiornamento automatico può escluderlo durante l’installazione oppure, per ambienti aziendali, distribuire il pacchetto MSI con il parametro NOUPDATER=1.

FONTE notepad-plus-plus.org

Reazioni dal Fediverso
Spargi la voce

Fiuta le novità (seguimi 🐾)
Mastodon Telegram Bluesky
YOOTA
YOOTA
@yoota@yoota.it

Fiuto per le tech news

467 articoli
59 follower

Lascia un commento

Puoi lasciare solo commenti senza iscrizione che verranno preventivamente moderati e il tuo indirizzo IP sarà anonimizzato.

Biscotti! Non vengono installati cookie di tracciamento né raccolti dati personali ma questo sito è federato con ActivityPub ⁂, visitandolo quindi potresti fare connessioni esterne ai server di Mastodon o altri software. Affiliazioni: Alcuni articoli potrebbero contenere link di affiliazione. Se acquisti tramite questi link, potremmo ricevere una piccola commissione.