テキストエディター「Notepad++」の最新版v7.3.3が、8日に公開された。今回のアップデートは、不具合の修正がメインのメンテナンスリリース。脆弱性の修正も行われているので、なるべく早めの更新を心がけたい。

今回修正された脆弱性は、“DLLハイジャック”と呼ばれるタイプのもの。「Notepad++」が利用するライブラリ「scilexer.dll」が何らかの手段で不正なものに置き換えられると、「Notepad++」が起動時に誤ってそれを読み込んでしまい、その活動を許してしまう。

この件は、最近“Wikileaks”によって暴露されたCIAの機密資料“Vault 7”で明らかになった。それによると、CIAがハッキングの標的にしているツールに「Notepad++」がリストアップされていたという。CIAの狙いは「Notepad++」で編集しているテキストの内容ではなく、バックグラウンドでの情報収集をカモフラージュすることにあったようだ。もし下手なコードや恥ずかしいポエムを「Notepad++」で書いていたとしても、それがCIAに漏れた可能性は低い。

v7.3.3ではこの脆弱性に対処するため、「scilexer.dll」を読み込む前に証明書をチェックし、改竄されていないかを検証するようになっている。もし証明書が無効であれば「scilexer.dll」は読み込まれず、「Notepad++」は起動しない。

「Notepad++」は、オープンソースで開発されているプログラマー向けのテキストエディター。実行速度を重視したコンパクトなサイズながら、幅広いプログラミング言語をサポートしたコード補完機能とシンタックスハイライト機能を備えており、海外のプログラマーを中心に幅広い支持を受けている。寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロードできる。