Microsoft устранила уязвимость «удаленного выполнения кода» в «Блокноте» Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по специально созданным ссылкам в формате Markdown, при этом не отображались никакие предупреждения безопасности Windows.
С выходом Windows 1.0 Microsoft представила «Блокнот» — простой и удобный текстовый редактор, который со временем стал популярным для быстрого создания заметок, чтения текстовых файлов, составления списков дел или использования в качестве редактора кода.
Для тех, кому нужен был редактор формата RTF (Rich Text Format), поддерживающий различные шрифты, размеры и инструменты форматирования, такие как полужирный шрифт, курсив и списки, существовали Windows Write, а затем WordPad.
Однако с выходом Windows 11 Microsoft решила прекратить поддержку WordPad и удалить его из системы.
Вместо этого Microsoft переписала «Блокнот», чтобы модернизировать его, позволив ему работать как простой текстовый редактор и как редактор RTF, добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown означает, что «Блокнот» может открывать, редактировать и сохранять файлы Markdown (.md) — это простые текстовые файлы, в которых для форматирования текста и представления списков или ссылок используются простые символы.
Например, чтобы выделить текст полужирным шрифтом или создать кликабельную ссылку, нужно добавить следующий текст в формате Markdown:
**Этот текст полужирный**
[Ссылка на BleepingComputer](https://www.bleepingcomputer.com/)Microsoft устранила уязвимость RCE в «Блокноте» Windows
В рамках обновлений Patch Tuesday за февраль 2026 года Microsoft сообщила об устранении критической уязвимости удаленного выполнения кода в «Блокноте», отслеживаемой как CVE-2026-20841.
«Некорректная нейтрализация специальных элементов, используемых в команде (внедрение команд), в приложении «Блокнот» Windows позволяет неавторизованному злоумышленнику выполнять код по сети», — говорится в бюллетене безопасности Microsoft.
Microsoft приписывает обнаружение уязвимости Кристиану Папе, Аласдеру Горниаку и Чену и заявляет, что ее можно использовать, обманом заставив пользователя перейти по вредоносной ссылке в формате Markdown.
«Злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке в файле Markdown, открытом в «Блокноте», что приведет к запуску приложением непроверенных протоколов, загружающих и выполняющих удаленные файлы», — объясняет Microsoft.
«Вредоносный код будет выполнен в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же разрешения, что и у этого пользователя», — говорится далее в бюллетене.
Новизна уязвимости быстро привлекла внимание в социальных сетях: исследователи в области кибербезопасности быстро разобрались, как она работает и насколько легко ее использовать.
Все, что нужно было сделать, — это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
Если пользователь открывал этот файл Markdown в версиях «Блокнота» Windows 11 11.2510 и более ранних и просматривал его в режиме Markdown, указанный выше текст отображался как кликабельная ссылка. При нажатии на ссылку с помощью Ctrl+click файл автоматически выполнялся без отображения предупреждения пользователю со стороны Windows.
Выполнение программы без предупреждения — это то, что Microsoft считает уязвимостью удаленного выполнения кода.
Это потенциально могло позволить злоумышленникам создавать ссылки на файлы в удаленных общих папках SMB, которые затем выполнялись бы без предупреждения.
По результатам тестов BleepingComputer, Microsoft теперь устранила уязвимость «Блокнота» Windows 11, отображая предупреждения при нажатии на ссылку, если она не использует протокол http:// или https://.
Теперь при нажатии на все остальные типы URI-ссылок, включая file:, ms-settings:, ms-appinstaller, mailto: и ms-search:, «Блокнот» будет отображать указанный выше диалог.
Однако неясно, почему Microsoft не заблокировала нестандартные ссылки изначально, поскольку по-прежнему существует возможность социальной инженерии для побуждения пользователей нажать кнопку «Да» в диалоговых окнах.
Хорошая новость заключается в том, что Windows 11 автоматически обновляет «Блокнот» через Microsoft Store, поэтому уязвимость, вероятно, не будет иметь никакого влияния, кроме своей новизны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
