- Microsoft retter en feil med ekstern kodekjøring i den moderne Notisblokk-appen.
- Feilen involverte feilaktig rensede spesialtegn i skadelige Markdown-filer (.md).
- Hendelsen gir næring til debatt om å legge til AI og andre unødvendige funksjoner i tradisjonelt enkle apper.
- Sårbarheten er rettet med februar 2026-oppdateringen som er tilgjengelig via Windows Update og Microsoft Store.
Microsoft har fikset en ny sårbarhet i den moderne versjonen av Notisblokk-appen som kunne ha tillatt angripere å ta over Windows 11 -oppsettet ditt med et enkelt triks.
Problemet, sporet som CVE-2026-20841 , er en feil i ekstern kjøring av kode som påvirker notatappen, spesielt når den håndterer Markdown-filer. I følge Microsofts sikkerhetsoppdateringsveiledning klarte ikke appen å rense visse spesialtegn som er innebygd i utformede lenker på riktig måte. En angriper kunne opprette en skadelig «.md» -fil og overbevise en bruker om å åpne den.
Hvis brukeren deretter klikket på den innebygde lenken, kunne et skript startes, laste ned ytterligere nyttelaster og kjøre kode på systemet. I et vellykket scenario kunne angriperen få de samme rettighetene som den innloggede brukeren.
Microsoft sier at de ikke har sett noen aktivt utnytte feilen. Alvorlighetsgraden var imidlertid alvorlig nok til at selskapet umiddelbart presset en løsning som en del av Patch Tuesday- oppdateringen i februar 2026 .
Det som gjør denne saken spesielt interessant er den nylige motreaksjonen rundt utviklingen av Notisblokken. Historisk sett var appen en minimalistisk, frakoblet tekstredigerer med så godt som ingen angrepsflate utover grunnleggende filhåndtering.
Men jo flere funksjoner som legges til, som forbedringer av Markdown-gjengivelse og Copilot-integrasjon som er avhengig av nettverkstilkobling, desto flere dører åpnes for angrep.
Microsoft adresserte feilen gjennom sikkerhetsoppdateringene fra 10. februar 2026. Rettelsen er tilgjengelig via Windows Update og oppdateringsmekanismen for Microsoft Store-appen. Brukere bør installere de nyeste kumulative oppdateringene og sørge for at Notepad er fullstendig oppdatert fra Store for å fikse sikkerhetsproblemet.
Redaksjonelt sett forsterker denne hendelsen et veletablert prinsipp innen programvaredesign. Enkelhet er en sikkerhetsfunksjon.
Notepads opprinnelige beste funksjon var minimalismen. Etter hvert som programvaregiganten fortsetter å modernisere selv sine mest grunnleggende verktøy, må hver nye funksjon veies mot den tilhørende risikoen. For eksempel kan funksjoner som AI- integrasjon tilby bekvemmelighet, men også kreve en sterkere sikkerhetsposisjon.
For å være rettferdig, er ikke Notepad den eneste notatappen med problemer. Nylig har den populære Notepad++-appen også blitt kompromittert av ondsinnede aktører. Dette var imidlertid et problem hos hostingleverandøren som tillot angripere å omdirigere brukere til ondsinnede servere via kompromitterte oppdateringsmanifester, og det var et problem med selve applikasjonen.
Siden den gang har utvikleren allerede byttet leverandør og gitt ut en oppdatert versjon av Notepad++ for å forbedre sikkerheten.