- Microsoft korjaa etäkoodin suorittamiseen liittyvän virheen modernissa Muistio-sovelluksessa.
- Virhe liittyi haitallisten Markdown (.md) -tiedostojen virheellisesti puhdistettuihin erikoismerkkeihin.
- Tapaus ruokkii keskustelua tekoälyn ja muiden tarpeettomien ominaisuuksien lisäämisestä perinteisesti yksinkertaisiin sovelluksiin.
- Haavoittuvuus on korjattu helmikuun 2026 päivityksellä, joka on saatavilla Windows Updaten ja Microsoft Storen kautta.
Microsoft on korjannut Muistio-sovelluksen modernissa versiossa uuden haavoittuvuuden, jonka avulla hyökkääjät olisivat voineet ottaa haltuunsa Windows 11 -käyttöjärjestelmäsi yksinkertaisella tempulla.
Ongelma, jonka tunnistenumero on CVE-2026-20841 , on etäkoodin suorittamiseen liittyvä virhe, joka vaikuttaa muistiinpanosovellukseen, erityisesti Markdown-tiedostoja käsiteltäessä. Microsoftin tietoturvapäivitysoppaan mukaan sovellus ei onnistunut puhdistamaan tiettyjä muotoiltuihin linkkeihin upotettuja erikoismerkkejä oikein. Hyökkääjä voi luoda haitallisen .md- tiedoston ja saada käyttäjän avaamaan sen.
Jos käyttäjä sitten napsautti upotettua linkkiä, skripti saattoi käynnistyä, ladata lisää hyötykuormia ja suorittaa koodia järjestelmässä. Onnistuneena hyökkääjä saattoi saada samat oikeudet kuin sisäänkirjautunut käyttäjä.
Microsoftin mukaan kukaan ei ole aktiivisesti hyödyntänyt haavoittuvuutta. Haavoittuvuuden vakavuus oli kuitenkin niin vakava, että yritys julkaisi korjauksen välittömästi osana helmikuun 2026 Patch Tuesday -päivitystä.
Erityisen mielenkiintoisen tämän tapauksen tekee Notepadin kehityksen viimeaikainen kielteinen reaktio. Historiallisesti sovellus oli minimalistinen, offline-tekstieditori, jolla ei käytännössä ollut mitään hyökkäyspintaa tiedostojen peruskäsittelyn lisäksi.
Kuitenkin, mitä enemmän ominaisuuksia lisätään, kuten Markdown-renderöinnin parannukset ja verkkoyhteyteen perustuva Copilot-integraatio, sitä enemmän ovia hyökkäyksille avautuu.
Microsoft korjasi haavoittuvuuden 10. helmikuuta 2026 julkaisemillaan tietoturvapäivityksillä. Korjaus on saatavilla Windows Updaten ja Microsoft Storen sovelluspäivitysmekanismin kautta. Käyttäjien tulee asentaa uusimmat kumulatiiviset päivitykset ja varmistaa, että Muistio on täysin ajan tasalla Storesta haavoittuvuuden korjaamiseksi.
Toimituksellisesti tämä tapaus vahvistaa ohjelmistosuunnittelun pitkäaikaista periaatetta. Yksinkertaisuus on turvallisuusominaisuus.
Notepadin alkuperäinen paras ominaisuus oli sen minimalismi. Ohjelmistojätin jatkaessa jopa kaikkein perustyökalujensa modernisointia, jokainen uusi ominaisuus on punnittava siihen liittyvää riskiä vasten. Esimerkiksi ominaisuudet, kuten tekoälyintegraatio , voivat tarjota kätevyyttä, mutta vaatia myös vahvempaa tietoturvaa.
Rehellisyyden nimissä on sanottava, että Muistio ei ole ainoa muistiinpanosovellus, jossa on ongelmia. Viime aikoina myös laajalti suosittu Notepad++-sovellus on joutunut haitallisten toimijoiden uhriksi. Kyseessä oli kuitenkin hosting-palveluntarjoajan ongelma, jonka ansiosta hyökkääjät pystyivät ohjaamaan käyttäjiä haitallisille palvelimille vaarantuneiden päivitystiedostojen kautta, ja se oli itse sovelluksen ongelma.
Sittemmin kehittäjä on jo vaihtanut palveluntarjoajaa ja julkaissut päivitetyn version Notepad++:sta parantaakseen turvallisuutta.