关键漏洞信息 提交信息 - 提交者: donho - 提交时间: 2025年12月1日 - 提交哈希: 提交描述 - 增强了安全性:在更新安装程序中验证证书和签名。 - 强制WinGU验证代码签名证书并验证下载的安装程序的签名。 - 如果签名无效或证书不正确,更新将被中止。 文件更改 - verifySignedfile.cpp - 替换了 函数为 。 - 更新了 函数以使用 算法。 - verifySignedfile.h - 增加了 成员函数。 - 更新了 函数为 。 - NppCommands.cpp - 为 命令函数添加了新的验证签名证书和签名的逻辑。 - 使用 类来验证下载的安装程序的代码签名证书和签名。 - winmain.cpp - 修改了 函数中的参数。 - 增加了强制验证证书签名的逻辑。 可能的漏洞 - 如果攻击者能够绕过或更改验证签名和证书的逻辑,可能会导致安装恶意软件或执行恶意更新。 - 函数和更新签名验证的逻辑可能有潜在的漏洞,需要仔细审核代码和逻辑。 - 由于验证逻辑与特定的 类绑定,如果该类的实现中有漏洞,可能会导致验证失败。