Microsoft выпустила обновление безопасности, устраняющее серьезную уязвимость в «Блокноте». Эту уязвимость не следует путать с проблемой безопасности, недавно обнаруженной в Notepad++. Она могла позволить злоумышленникам удаленно выполнять вредоносный код на компьютере жертвы.
Ошибка (отслеживаемая как CVE-2026-20841) представляет собой уязвимость удаленного выполнения кода (RCE) в Windows Notepad. Она возникает из-за того, что приложение некорректно обрабатывает или блокирует опасные специальные символы в определенных командах. Уязвимость затрагивает современное приложение «Блокнот» из Microsoft Store, особенно при работе с файлами Markdown (.md).
Согласно руководству по обновлению безопасности Microsoft, злоумышленник может использовать эту уязвимость и создать вредоносный файл Markdown, содержащий специально созданные ссылки. Если пользователь откроет файл в «Блокноте» и щелкнет одну из ссылок, может запуститься скрипт, который загрузит и выполнит вредоносный код. В случае успеха злоумышленник мог бы получить полный контроль над компьютером жертвы и всеми связанными с ним разрешениями.
Уязвимость имеет базовую оценку CVSS v3.1 8.8 (высокая степень серьезности), а максимальная оценка серьезности от Microsoft указана как «Важная». Microsoft сообщает об отсутствии известных публичных эксплойтов на момент выпуска исправления.
Microsoft исправила эту уязвимость в рамках обновлений безопасности Patch Tuesday за февраль 2026 года, выпущенных 10 февраля 2026 года. Пользователям рекомендуется установить последние обновления Windows и поддерживать приложение «Блокнот» в актуальном состоянии.
Обнаружение этой уязвимости побудило некоторых пользователей поставить под сомнение решение Microsoft предоставить «Блокноту» сетевые функции. Пользователи утверждают, что простому текстовому редактору не обязательно постоянно быть подключенным к Интернету. Однако доступ «Блокнота» к Интернету необходим для обеспечения функциональности интеграции Copilot в текстовом редакторе. Тем не менее, необходимость Copilot в «Блокноте» — это отдельный вопрос для дискуссии.
Полный список исправлений можно найти на странице безопасности Microsoft.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
