@foolishcrab 其实真的还有很多，尤其是常年不更新 IT 团队的单位，甚至还在用 npp5.x 的版本，国外用 npp 的就更多了

不提权安装的话，这类漏洞就没法实现了吧？

@mercury233 #2 这玩意算不算漏洞其实有待商榷，因为 1. 要利用，必须让用户下载 恶意 exe + 正常安装包 的组合，那为什么不直接提供一个恶意安装包 2. Windows 程序运行时默认从当前目录加载依赖的 dll ，所以恶意 dll 也可起到相同的作用 3. 对杀毒软件可能没有特别的效果，而裸奔的高级用户看到奇怪的文件都会提高警惕

这篇文章就很清晰，直接说说明了漏洞本质： 漏洞本质：Notepad++ 8.8.1 安装程序存在未受控的可执行文件搜索路径（ Binary Planting 漏洞）。安装程序调用系统工具（如 regsvr32.exe ）时，优先在当前目录（而非系统目录）搜索依赖文件，且未验证文件合法性。 [一觉醒来，网工天塌了！ Notepad++再爆漏洞，赶紧升级！ - 知乎]( https://zhuanlan.zhihu.com/p/1921489463516853165)

@foolishcrab #4 我在用，习惯了。哈哈哈。主要 vscode 感觉有点臃肿了，npp 适合那种 txt 临时打开看一眼的时候。

没看出来有啥问题?

很多年前就换 vscode 了，vscode 天下第一 https://i.imgur.com/pmNOo2w.png

可以用这个 Notepad-- 和 ++对着干 速度非常快

对我来说 有种这个文章该在 52pojie 上看到而不是在 f 上看到的感觉(原谅我对两个网站的浅薄认知)...https://i.imgur.com/XKj1Tkx.png

反正用 Notepad--