Критическая уязвимость в Блокноте Windows: Markdown-функция позволяла удалённо выполнять код

Блокнот Windows оказался в числе приложений с серьёзными недавними уязвимостями, подобно альтернативе Notepad++.

Блокнот — одно из старейших и в прошлом максимально простых приложений Windows — сильно эволюционировал в эру Copilot AI. Одна из новых возможностей оказалась уязвимой; Microsoft выпустила исправление в обновлении безопасности от 10 февраля.

Нет, речь не о той же проблеме, что вскрылась в альтернативном редакторе Notepad++. Просто совпадение получилось неудачным по времени.

Microsoft объясняет, что уязвимость Блокнота CVE-2026-20841 вызвана «неправильной нейтрализацией специальных элементов в команде (command injection)» в приложении. Проще говоря, это уязвимость удалённого выполнения кода (RCE), позволявшая злоумышленникам «выполнять код по сети» через Блокнот.

Проблема заключалась в относительно новой функции Markdown, добавленной в Блокнот в 2025 году. По данным Microsoft, если злоумышленник убеждал или обманывал пользователя, заставив открыть вредоносную ссылку в Markdown‑файле через Блокнот, приложение могло загрузить и запустить удалённые файлы.

Ещё хуже: вредоносный код выполнялся в контексте учётной записи пользователя, от имени которой запущен Блокнот, то есть злоумышленник получал те же привилегии, что и пользователь — серьёзная угроза безопасности.

Эта закрытая уязвимость получила 8.8 балла по шкале CVSS — высокий рейтинг угрозы (максимум 10). При этом Microsoft указывает, что фактов реальной эксплуатации в природе (in‑the‑wild) пока не подтверждено.

Проблема исправлена в обновлении Patch Tuesday за февраль 2026 года, поэтому важно установить последние обновления Windows. По доступным сведениям, уязвимыми были версии Блокнота с 11.0.0 по 11.2510 (то есть версии от 11.0.0 и до 11.2510, не включая 11.2510).

Отдельно: Notepad и Notepad++ — локальные редакторы текста, они доступны и в России; обновления безопасности для Windows распространяются обычным образом (возможные ограничения сервисов Microsoft зависят от текущей ситуации в регионе).

Даже кажущиеся безопасными системные утилиты могут получить функции, которые повышают риск эксплуатации. Для пользователя это означает несколько практических выводов:

• Установите обновления Windows как можно скорее — патч уже выпущен и закрывает CVE‑2026‑20841.
• Будьте осторожны с Markdown‑файлами и ссылками в них, особенно если файл получен из неизвестного источника или прислан по почте/мессенджеру.
• Ограничьте права учётной записи: используйте стандартную учётную запись без прав администратора для повседневной работы — в случае исполнения кода злоумышленник получит меньше возможностей.
• Поддерживайте антивирус и средства обнаружения угроз в актуальном состоянии и проверяйте подозрительные файлы перед открытием.
• Рассмотрите альтернативные редакторы, если требуется строгое разделение функции просмотра Markdown и выполнения какого‑либо кода — но не забывайте, что и у сторонних приложений могут быть свои уязвимости, поэтому всегда проверяйте обновления.

Новость полезна тем, кто пользуется Блокнотом для просмотра или редактирования Markdown и другим текстовым контентом: она подчёркивает необходимость регулярного обновления системы и внимательности при взаимодействии с файлами из внешних источников. Для ИТ‑специалистов сигнал ясен — даже привычные инструменты требуют контроля и анализа после внедрения новых функций.