Microsoft novērš bīstamu Notepad Markdown drošības kļūdu operētājsistēmā Windows 11

• Microsoft novērš attālinātas koda izpildes kļūdu mūsdienu Notepad lietotnē.
• Kļūda bija saistīta ar nepareizi attīrītām speciālajām rakstzīmēm ļaunprātīgos Markdown (.md) failos.
• Šis incidents izraisa debates par mākslīgā intelekta un citu nevajadzīgu funkciju pievienošanu tradicionāli vienkāršām lietotnēm.
• Ievainojamība ir novērsta ar 2026. gada februāra atjauninājumu, kas pieejams, izmantojot Windows Update un Microsoft Store.

Microsoft ir novērsis jaunu ievainojamību Notepad lietotnes modernajā versijā, kas varēja ļaut uzbrucējiem ar vienkāršu triku pārņemt jūsu Windows 11 iestatījumus.

Problēma, kas reģistrēta kā CVE-2026-20841 , ir attālinātas koda izpildes kļūda, kas ietekmē piezīmju veikšanas lietotni, īpaši apstrādājot Markdown failus. Saskaņā ar Microsoft drošības atjauninājumu rokasgrāmatu, lietotnei neizdevās pareizi attīrīt noteiktas speciālās rakstzīmes, kas iegultas izveidotās saitēs. Uzbrucējs varēja izveidot ļaunprātīgu “.md” failu un pārliecināt lietotāju to atvērt.

Ja lietotājs pēc tam noklikšķinātu uz iegultās saites, varētu tikt palaists skripts, lejupielādētas papildu vērtuma slodzes un sistēmā izpildīts kods. Veiksmīgas izpildes gadījumā uzbrucējs varētu iegūt tādas pašas privilēģijas kā pieteicies lietotājs.

Microsoft apgalvo, ka nav redzējis nevienu aktīvi izmantojam šo trūkumu. Tomēr tā nopietnība bija pietiekami nopietna, lai uzņēmums nekavējoties ieviestu labojumu kā daļu no 2026. gada februāra Patch Tuesday atjauninājuma.

Šo lietu īpaši interesantu padara nesenā negatīvā reakcija uz Notepad evolūciju. Vēsturiski lietotne bija minimālistisks, bezsaistes teksta redaktors, kuram praktiski nebija uzbrukuma virsmas, izņemot pamata failu apstrādi.

Tomēr tagad, jo vairāk funkciju tiek pievienotas, piemēram, Markdown renderēšanas uzlabojumi un Copilot integrācija, kas balstās uz tīkla savienojamību, jo vairāk iespēju tiek atvērtas uzbrukumiem.

Microsoft novērsa šo trūkumu ar 2026. gada 10. februāra drošības atjauninājumiem. Labojums ir pieejams, izmantojot Windows Update un Microsoft Store lietotņu atjaunināšanas mehānismu. Lietotājiem jāinstalē jaunākie kumulatīvie atjauninājumi un jāpārliecinās, ka Notepad ir pilnībā atjaunināts no veikala, lai novērstu ievainojamību.

Redakcionāli šis incidents apstiprina ilgstoši pastāvošu programmatūras izstrādes principu. Vienkāršība ir drošības elements.

Notepad sākotnējā labākā īpašība bija tā minimālisms. Tā kā programmatūras gigants turpina modernizēt pat savus visvienkāršākos rīkus, katra jaunā iespēja ir jāizvērtē attiecībā pret saistīto risku. Piemēram, tādas funkcijas kā mākslīgā intelekta integrācija var piedāvāt ērtības, taču tai ir nepieciešama arī spēcīgāka drošības politika.

Godīgi sakot, Notepad nav vienīgā piezīmju veikšanas lietotne ar problēmām. Nesen ļaunprātīgi lietotāji ir apdraudējuši arī plaši populāro lietotni Notepad++ . Tomēr šī bija mitināšanas pakalpojumu sniedzēja problēma, kas ļāva uzbrucējiem novirzīt lietotājus uz ļaunprātīgiem serveriem, izmantojot kompromitētus atjauninājumu manifestus, un tā bija problēma ar pašu lietotni.

Kopš tā laika izstrādātājs jau ir mainījis pakalpojumu sniedzēju un izlaidis atjauninātu Notepad++ versiju, lai uzlabotu drošību.