Уязвимость в «Блокноте» Microsoft позволяет удаленно выполнять код через файлы Markdown. Эксплуатация требует социальной инженерии, но может затронуть миллионы пользователей. Успех для тех, кто выступал против «WordPad-ификации» скромного текстового редактора Microsoft. — theregister.com
Всего через несколько месяцев после того, как Microsoft добавила поддержку Markdown в «Блокнот», исследователи обнаружили, что эта функция может быть использована для удаленного выполнения кода (RCE).
Уязвимость, отслеживаемая под кодом CVE-2026-20841 (8.8), была устранена в последних исправлениях Microsoft, выпущенных во «Вторник исправлений».
Недостаток не получил максимальной оценки серьезности, поскольку для его активации требуется некоторая социальная инженерия, но после этого для злоумышленника все идет как по маслу.
Когда мы говорим «социальная инженерия», мы имеем в виду не сверхобученные методы, как в темном искусстве, практикуемом Scattered Spider. Скорее, это просто обман людей с целью заставить их открыть недоверенные ссылки.
Хотя организации располагают обширными средствами защиты электронной почты, фишинг остается наиболее эффективным вектором первоначального доступа для киберпреступников. Поскольку «Блокнот» установлен по умолчанию на большинстве ПК с Windows, это означает, что CVE-2026-20841 может затронуть довольно много машин.
Злоумышленнику достаточно лишь заставить ничего не подозревающего пользователя открыть файл Markdown в «Блокноте» и перейти по вредоносной ссылке, встроенной в него.
Согласно объяснению Microsoft, хакер может использовать уязвимость для запуска «непроверенных протоколов», которые загружают и выполняют файлы с разрешениями пользователя.
Гигант из Редмонда также подтвердил, что нет никаких известных случаев эксплуатации уязвимости в реальных условиях.
Microsoft начала внедрять функциональность Markdown в «Блокноте» в мае 2025 года в рамках обновления, похожего на WordPad, перед официальным выпуском.
Этот шаг был спорным: хотя некоторые приветствовали новую функцию, многие считали, что «Блокнот» следовало оставить в покое.
Критики утверждали, что превращение «Блокнота» в подобие WordPad, который Microsoft прекратила поддержку в 2024 году, предало основную идею приложения как легкой, быстрой, простой программы.
Затем появился ИИ. В сентябре участники программы Windows Insiders получили возможность использовать функции написания, переписывания и суммирования с поддержкой ИИ — при условии, что они использовали Copilot+ PC.
Все это, включая поддержку Markdown, можно отключить в настройках «Блокнота», но по умолчанию оно включено.
Хотя это и не связано с Microsoft, раскрытие информации о CVE-2026-20841 произошло всего через несколько дней после того, как команда Notepad++ подтвердила серьезные проблемы безопасности.
Ранее в этом месяце было объявлено об исправлениях и обновлениях версий после того, как спонсируемые государством киберпреступники скомпрометировали службу обновлений еще в июне, что привело к целевым атакам на организации, заинтересованные в Восточной Азии. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones