Блокнот Microsoft, когда-то самый простой текстовый редактор, теперь поддерживает удаленное выполнение кода из-за новых функций, таких как поддержка Markdown. Эксперты предупреждают о рисках. — pcworld.com
Рискуя прослыть брюзгой, вспоминаю времена, когда Блокнот был самым простым текстовым редактором. Именно поэтому он нравился некоторым программистам и писателям — ведь эта программа поставлялась со всеми версиями Windows (и более ранними). Но Microsoft постоянно развивает Блокнот с тех пор, как отказалась от Wordpad… и теперь Блокнот стал настолько сложным, что поддерживает удаленное выполнение кода. Неплохо.
Для непосвященных: удаленное выполнение кода (RCE) — это уязвимость безопасности, позволяющая загружать и запускать внешнюю программу без разрешения или ведома пользователя. Такой тип атаки не должен быть возможен в простейшем текстовом редакторе. Но с множеством новых функций в Блокноте, включая интеграцию с «ИИ» через Copilot, он стал гораздо более уязвимым, чем раньше. Последняя проблема связана с поддержкой Блокнотом Markdown — простой системы форматирования, которая была добавлена в июле 2025 года.
О новой проблеме Microsoft сама сообщила в бюллетене безопасности. Суть в следующем: пользователь скачивает файл с текстом в формате Markdown, а затем открывает его в Блокноте. Благодаря поддержке Markdown появляется ссылка с веб-стандартным выделением, как показано здесь. Большинство пользователей поймут, что ссылка ведет на веб-сайт… но она также может инициировать удаленную загрузку кода, чего Блокнот не мог сделать даже год назад. Удаленный код затем активировался бы с тем же уровнем разрешений, что и у пользователя Windows.
Проблема получила стандартизированную оценку CVSS 8.8/7.7, что делает ее серьезной проблемой безопасности для Microsoft, не имеющей на данный момент решения. К счастью, для реального осуществления атаки требуется отдельная загрузка файла и очень осознанное взаимодействие пользователя, поэтому это требует определенных усилий. (Для максимальной эффективности потребуется сочетание с социальной инженерией и обманом.) Здесь действует старый добрый совет: «не скачивайте ничего из ненадежных источников».
Этой проблемы не было в предыдущих версиях Блокнота. Но здесь стоит упомянуть, что использование менее «современной» альтернативы не означает полной безопасности. Например, Notepad++ (независимая программа с открытым исходным кодом, популярная среди опытных пользователей десятилетиями) недавно была скомпрометирована в результате целевой атаки на серверы обновлений приложения.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Michael Crider