Update: Kritische Schwachstelle in Notepad++

Die Warnmeldung wurde am 5. Februar 2026 aufgrund weiterführender Informationen aktualisiert. 

Das Entwickler-Team der Software Notepad++ veröffentlichte am 9. Dezember 2025 die gepatchte Version 8.8.9 des Text-Editors, die eine kritische Schwachstelle schließt. Die Sicherheitslücke ohne CVE-Kennung betrifft den Auto-Updater WinGUp von Notepad++.

Durch die Lücke wurden automatisierte Update-Downloads für Notepad++ über WinGUp teilweise auf fremde Server umgeleitet, über die dann statt Updates verschiedene Malware auf die Systeme geladen wurde. Über diese Schad-Software könnten Angreifende Remote Code Execution (RCE) herbeiführen.

Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) warnt in einer Sicherheitsmeldung vom 3. Februar 2026 ebenfalls vor der Ausnutzung der Schwachstelle. Die Meldung enthält weitere Details zum erfolgreichen Vorgehen von Angreifern und schreibt der Gruppierung Lotus Blossom den größten Teil der durchgeführten Attacken zu.

Weiter empfiehlt das LfV BW, der Empfehlung des Entwickler-Teams von Notepad++ folgend, ein Update auf die neuste Version 8.9.1. Die Sicherheitsmeldung des LfV BW finden Sie unten verlinkt.

Rapid7 veröffentlichte in einem Bericht Kompromittierungsindikatoren (IoC: Indicator of Compromise), mit denen geprüft werden kann, ob Systeme betroffen sind (siehe Link unten).

Beachten Sie folgende Empfehlungen:

• Installieren Sie umgehend die Version 8.9.1 von Notepad++.
• Prüfen Sie mit den veröffentlichten IoCs, ob Ihre Systeme betroffen sind.