Notepad++ 两连更，修复1个多月的安全漏洞，此前更新机制可被黑客用于投毒

2025年12月11日 12:22

开源文本编辑器 Notepad++ 接连发布了 v8.8.8/v8.8.9 更新，修复了更新组件 WinGUp 在对下载文件签名和证书校验不够严格的问题。
上月，Notepad++ 爆出了安全漏洞：在安装了 Notepad++ 的机器上，黑客劫持网络后，利用自动更新机制，自动下载被投毒的恶意可执行文件。

Notepad++ 两连更，修复1个多月的安全漏洞，此前更新机制可被黑客用于投毒 1

Notepad++ 两次安全更新

这件事应该有1个多月了。用户只需要更新至最新的 v8.8.9 即可解决问题。

v8.8.8：修改下载源和 URL 域名，降低被劫持和滥用的可能性。
v8.8.9：在下载结果上加验签和证书校验，就算路径被劫持了，也能阻止恶意安装包被执行。

Notepad++ v8.8.8

2025年11月18日，Notepad++ 发布了 v8.8.8 版本，开发者说：「过去两周，我与一些安全专家进行了沟通，发现 WinGUp（Notepad++ 使用的自动更新程序）存在潜在的劫持漏洞。该问题已在最新版本中得到解决。」

Notepad++ 两连更，修复1个多月的安全漏洞，此前更新机制可被黑客用于投毒 2

Notepad++ v8.8.9

昨天（2025年12月10日），Notepad++ 发布了 v8.8.9 版本，再次更新漏洞：

Notepad++ 两连更，修复1个多月的安全漏洞，此前更新机制可被黑客用于投毒 3

到底发生了什么？

在本月初，Beaumont 发布了一篇《少数 Notepad++ 用户报告安全问题》，介绍了一个有趣的事情。

他说他收到了3封来信，他们在安装了 Notepad++ 的机器上发生了安全事件，怀疑是 Notepad++ 进程产生的初始访问。并且导致后面的中毒事件。

而在上面提到的 v8.8.8 版本更新中，只修复了一半这个问题。

出问题的 WinGUP 是什么？

WinGUP 是 Notepad++ 开发者为了自动更新自身，专门写的自动更新程序。是的，他俩是同个开发者。

WinGUP 会读取 xml 配置文件以获取程序的当前版本和 WinGUp 获取更新信息的 URL，检查该 URL（使用给定的当前版本）以获取更新包位置，下载更新包，然后运行相关的更新包（它应该是 msi 或 exe 文件）。

原理大概是这样的：

Notepad++ 两连更，修复1个多月的安全漏洞，此前更新机制可被黑客用于投毒 4

而此前，由于 WinGUP 不验证 HTTPS 服务器证书和 MSI/EXE 安装包签名，黑客拦截了流量，并修改了其中的 URL 地址，于是用户电脑自动下载到了恶意软件，并安装。

从 v8.8.8 起，WinGUP 会强制从 github.com 下载，而 v8.8.9 起，增加严格的证书和签名校验，从而避免下载安装包的完整性。

所以，v8.8.9 修复了另一半的问题。

最后的建议

由于Notepad++ 拥有大量用户，经常会成为恶意攻击者的目标，如果你使用 Notepad++，建议升级到最新版本。

这里是他的官方 GitHub：

https://github.com/notepad-plus-plus/notepad-plus-plus

如果你想寻找替代品，可以参考社区中的一些内容：

注意上面第二个帖子，年头有点久，但还在开放中，似乎大家并没有一个满意的替代品。

原文：https://www.appinn.com/notepad-plusplus-v8-8-9/

普通视图