Microsoft odpravlja nevarno varnostno napako v programu Notepad Markdown v sistemu Windows 11

• Microsoft odpravlja napako pri oddaljenem izvajanju kode v sodobni aplikaciji Notepad.
• Napaka je vključevala nepravilno sanirane posebne znake v zlonamernih datotekah Markdown (.md).
• Incident je sprožil razpravo o dodajanju umetne inteligence in drugih nepotrebnih funkcij tradicionalno preprostim aplikacijam.
• Ranljivost je bila odpravljena s posodobitvijo iz februarja 2026, ki je na voljo prek storitve Windows Update in trgovine Microsoft Store.

Microsoft je odpravil novo ranljivost v sodobni različici aplikacije Beležnica, ki bi lahko napadalcem omogočila, da s preprostim trikom prevzamejo nadzor nad vašo namestitvijo sistema Windows 11 .

Težava, označena kot CVE-2026-20841 , je napaka pri oddaljenem izvajanju kode, ki vpliva na aplikacijo za beleženje, zlasti pri delu z datotekami Markdown. Glede na Microsoftov priročnik za varnostne posodobitve aplikacija ni pravilno očistila nekaterih posebnih znakov, vdelanih v ustvarjene povezave. Napadalec bi lahko ustvaril zlonamerno datoteko ».md« in prepričal uporabnika, da jo odpre.

Če bi uporabnik nato kliknil vdelano povezavo, bi se lahko zagnal skript, prenesel dodatne koristne obremenitve in izvedel kodo v sistemu. V uspešnem scenariju bi lahko napadalec pridobil enake privilegije kot prijavljeni uporabnik.

Microsoft pravi, da ni videl nikogar, ki bi aktivno izkoriščal napako. Vendar je bila resnost dovolj resna, da je podjetje takoj izdalo popravek kot del posodobitve Patch Tuesday februarja 2026 .

Kar ta primer dela še posebej zanimivega, so nedavni negativni odzivi na razvoj Beležnice. V preteklosti je bila aplikacija minimalen urejevalnik besedil brez povezave, ki je imel praktično nobeno površino za napad, razen osnovnega upravljanja datotek.

Vendar pa zdaj, več funkcij, ki se dodajo, kot so izboljšave upodabljanja Markdown in integracija Copilot, ki je odvisna od omrežne povezljivosti, več vrat se odpira napadom.

Microsoft je napako odpravil z varnostnimi posodobitvami z dne 10. februarja 2026. Popravek je na voljo prek storitve Windows Update in mehanizma za posodabljanje aplikacij v trgovini Microsoft Store. Uporabniki naj namestijo najnovejše kumulativne posodobitve in zagotovijo, da je aplikacija Notepad v celoti posodobljena iz trgovine Store, da odpravijo ranljivost.

Uredniško gledano ta incident potrjuje dolgoletno načelo v oblikovanju programske opreme. Preprostost je varnostna značilnost.

Prvotna najboljša lastnost programa Notepad je bil njegov minimalizem. Ker programski velikan nenehno posodablja celo svoja najosnovnejša orodja, je treba vsako novo zmogljivost pretehtati glede na povezana tveganja. Na primer, funkcije, kot je integracija umetne inteligence, lahko ponujajo udobje, vendar zahtevajo tudi močnejšo varnostno držo.

Po pravici povedano, Notepad ni edina aplikacija za beleženje s težavami. Pred kratkim so zlonamerni akterji ogrozili tudi zelo priljubljeno aplikacijo Notepad++ . Vendar je šlo za težavo ponudnika gostovanja, ki je napadalcem omogočala preusmeritev uporabnikov na zlonamerne strežnike prek ogroženih manifestov posodobitev, in za težavo v sami aplikaciji.

Od takrat je razvijalec že zamenjal ponudnika in izdal posodobljeno različico programa Notepad++ za izboljšanje varnosti.