Notepad++, popüler bir metin düzenleyici, son güncellemeleriyle birlikte önemli bir güvenlik açığını kapattı. Geliştirici Don Ho, WinGUp güncelleme aracında tespit edilen bir zayıflığı gidermek için 8.8.9 versiyonunu piyasaya sürdü. Bu güncellemeyle birlikte, kötü niyetli yazılımların güncelleme süreciyle sisteme sızmasının önüne geçilmesi hedeflendi.
Güvenlik Açığı ve İlk Belirtiler
Güvenlik açığının ilk belirtileri Notepad++ kullanıcıları tarafından açılan mesaj panolarında ortaya çıktı. Bir kullanıcı, güncelleme aracının bilinmeyen bir “%Temp%AutoUpdater.exe” dosyası çalıştırdığını ve bu dosyanın cihaz bilgilerini toplamak için komutlar yürüttüğünü bildirdi. Bu komutlar arasında ağ bağlantılarını kontrol etmek ve sistem bilgilerini öğrenmek için kullanılan netstat, systeminfo, tasklist ve whoami vardı.
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txtAutoUpdater.exe ardından, curl.exe komutu kullanarak topladığı bilgileri uzaktaki bir siteye göndermeye çalıştı. Bu durum, Notepad++ kullanıcılarını tedirgin eden bir güvenlik açığına neden oldu.
Güncellemelerdeki Sorun ve Çözüm Adımları
Notepad++ geliştiricisi Ho, bu sorunu hafifletmek için 18 Kasım’da 8.8.8 versiyonunu yayımladı. Artık güncellemeler yalnızca GitHub’dan indirilebiliyordu. Yine de, bu önlem yeterli görünmemekteydi. Bu nedenle, 9 Aralık’ta 8.8.9 versiyonu çıkarıldı ve bu güncellemeyle birlikte yalnızca geliştiricinin imza sertifikasıyla imzalanmış güncellemelerin yüklenmesine izin verildi.
Notepad++’un güvenlik notunda şöyle belirtiliyor: “Bu sürümle birlikte, Notepad++ ve WinGUp, güncelleme süreci sırasında indirilen kurulum dosyalarının imzasını ve sertifikasını doğrulamak için güçlendirildi. Eğer doğrulama başarısız olursa, güncelleme iptal edilecektir.”
Hedefli Saldırılar ve Yapılan Başvurular
Güvenlik uzmanı Kevin Beaumont, Notepad++ ile bağlantılı güvenlik olaylarının yaşandığını doğruladı. Üç farklı kuruluş, Notepad++ yüklü sistemlerinde güvenlik sorunları yaşadıklarını bildirdi. Beaumont, bu durumun, tehdit aktörlerinin başlangıç erişimi sağladığını öne sürdü. İlgili kuruluşların hedefli saldırılara maruz kalması, Notepad++ kullanımını daha da riskli hale getiriyor.
Güncellemeleri kontrol ederken, Notepad++ şu URL’ye bağlanıyor: https://notepad-plus-plus.org/update/getDownloadUrl.php?version=. Eğer yeni bir versiyon mevcutsa, XML formatında güncelleme bilgileri dönüyor. Beaumont, bu süreçteki ağ trafiğinin müdahale edilmesinin, kötü niyetli güncellemelerin yüklenmesine yol açabileceğini vurguladı.
Sonuç ve Kullanıcılar için Öneriler
Notepad++ kullanıcılara en kısa sürede 8.8.9 versiyonuna geçmeleri önerilmektedir. Kullanıcıların, daha önce yükledikleri özel kök sertifikaları varsa bunları kaldırmaları gerektiği de vurgulanıyor. Notepad++ ekibi hâlâ ağın nasıl yönlendirilip kontrol edildiği konusunda araştırmalarına devam etmekte ve kullanıcıları bilgilendirecektir.
Güvenli bir deneyim için, her kullanıcının güncellemelerini takip etmeleri ve resmi kaynaklardan indirme yapmaları son derece önemlidir. Bu tür olaylar, yazılımların güvenliğini sağlarken dikkat edilmesi gereken önemli adımlardır.
