Уязвимост в Notepad на Windows 11 позволява изпълнение на код, ъпдейтнете машината си
Microsoft отстрани критична RCE (remote code execution, CVE-2026-20841) в Notepad за Windows 11 като част от февруарския Patch Tuesday.
Благодарение на нея, атакуващия може да изпълни локални или отдалечени скриптове, ако потребителят кликне върху специално подготвен Markdown линк в .md файл, без да се визуализира стандартното предупреждение за сигурност на Windows.
Уязвимостта произтича от некоректна неутрализация на специални елементи в команди (command injection). Чрез линкове от типа file:// или специфични URI схеми като ms-appinstaller://, Notepad е можел да стартира изпълними файлове или да зареди съдържание от отдалечени SMB ресурси. Злонамереният код се изпълнява с правата на текущия потребител.
Проблемът засяга версии 11.2510 и по-стари на Notepad в режим Markdown. Microsoft препоръчва незабавна инсталация на последните обновления, тъй като експлоатацията изисква единствено социално инженерство – убеждаване на потребителя да отвори и кликне върху злонамерен линк.
Наскоро стана ясно, че друг популярен редактор – Notepad++ – също е станал жертва на supply chain атака.