Notepad++ Vulnerability Allows Attackers to Crash Application, Leak Memory Data
2026/04/27 CyberSecurityNews — 開発者および IT 担当者たちに広く使用されるオープンソース・テキストエディター Notepad++ において、セキュリティ脆弱性 CVE-2026-3008 が確認された。この脆弱性を悪用するリモート攻撃者は、アプリケーション・クラッシュを引き起こし、対象システムから機密性の高いメモリアドレス情報を窃取する可能性がある。
この脆弱性は、FindInFiles 機能内に存在する文字列インジェクションの欠陥に起因する。具体的には、コンフィグ・ファイル “nativeLang.xml” の “find-result-hits” フィールドに、”%s” フォーマット指定子が含まれる場合の検索処理中に予期しない挙動が発生し、メモリ処理の不備を引き起こす。
この種の脆弱性は不正メモリアクセスを招くため、アプリケーション・クラッシュを狙ったサービス拒否 (DoS) の誘発や、後続の攻撃に転用可能なメモリ・アドレス情報収集の手段を、攻撃者に対して提供する恐れがある。
また、同一パッチ内で脆弱性 CVE-2026-6539 も修正されており、前述の脆弱性と共にセキュリティ問題が解決されたことを示している。この脆弱性が悪用された場合には、Notepad++ に依存する開発者/システム管理者/セキュリティ・アナリストの業務やワークフローに影響が生じる恐れがある。
特にメモリ情報漏洩の脆弱性は、他のエクスプロイトとの連鎖により、Address Space Layout Randomization (ASLR) 回避などに悪用される、二次的なリスクを孕んでいる。
影響バージョン
この脆弱性は、Notepad++ バージョン 8.9.3 に影響を及ぼす。さらに、旧バージョンの利用者にも同様のリスクが生じるため、提供されるパッチを遅滞なく適用する必要がある。
パッチ提供
Notepad++ の プロダクト・オーナー Hazley Samsudin は迅速に対応し、バージョン 8.9.4 を公開した。この更新により CVE-2026-3008/CVE-2026-6539 の両方が修正される。
修正内容は、”nativeLang.xml” におけるフォーマット文字列の不適切な解析により発生していた、FindInFiles 機能のクラッシュ問題の解消である。詳細は Notepad++ 公式 GitHub リポジトリのイシュー #17960 に公開されている。
対応策
CSA (Cybersecurity Agency) からは、影響バージョンを使用するユーザーおよび管理者に対して、以下の即時対応が推奨されている:
- Notepad++ バージョン 8.9.4 への更新 (公式 Web サイトまたは内蔵更新機能を使用)
- ダウンロードしたインストーラの整合性を公式チェックサムで検証
- 異常挙動の監視および過去のエクスプロイト試行の有無の確認
Notepad++ はエンタープライズ環境および開発環境に広く導入されているため、この更新はパッチ管理プロセスにおいて優先対応とすべきである。特にカスタム “nativeLang.xml” コンフィグを使用しているユーザーは、即時適用が必要である。
訳者後書:Notepad++ の脆弱性 CVE-2026-3008 は、検索機能の内部で設定ファイルを読み込む際の不備が原因で発生しています。具体的には、設定ファイル内の特定の場所に、プログラムが予期しない動作をしてしまう文字列が含まれていると、メモリを正しく処理できなくなります。 CVE-2026-6539 も含め、こうしたメモリに関わる問題は、単なるアプリの強制終了だけでなく、システムの重要な情報を盗み出す手がかりとして悪用される恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Notepad++ での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.