Microsoft исправила опасную уязвимость безопасности Markdown в Блокноте Windows 11.

• Microsoft исправила уязвимость, приводящую к удаленному выполнению кода в современной версии приложения «Блокнот».
• Ошибка заключалась в некорректной обработке специальных символов в вредоносных файлах Markdown (.md).
• Этот инцидент подогревает дискуссию о добавлении искусственного интеллекта и других ненужных функций в традиционно простые приложения.
• Уязвимость устранена в обновлении от февраля 2026 года, доступном через Центр обновления Windows и Microsoft Store.

Компания Microsoft устранила новую уязвимость в современной версии приложения «Блокнот», которая могла позволить злоумышленникам получить контроль над вашей системой Windows 11 с помощью простого приема.

Проблема, отслеживаемая как CVE-2026-20841 , представляет собой уязвимость удаленного выполнения кода, затрагивающую приложение для создания заметок, особенно при работе с файлами Markdown. Согласно руководству по обновлениям безопасности Microsoft, приложение не смогло должным образом проверить некоторые специальные символы, встроенные в специально созданные ссылки. Злоумышленник мог создать вредоносный файл «.md» и убедить пользователя открыть его.

Если пользователь затем перейдет по встроенной ссылке, может запуститься скрипт, загрузить дополнительные полезные нагрузки и выполнить код в системе. В случае успеха злоумышленник может получить те же привилегии, что и вошедший в систему пользователь.

Microsoft заявляет, что не зафиксировала случаев активного использования этой уязвимости в реальных условиях. Однако серьезность проблемы оказалась достаточно высокой, чтобы компания немедленно выпустила исправление в рамках обновления Patch Tuesday в феврале 2026 года .

Этот случай особенно интересен из-за недавней негативной реакции на эволюцию Блокнота. Исторически это приложение представляло собой минималистичный текстовый редактор, работающий в автономном режиме и практически не имеющий уязвимостей, за исключением базовой обработки файлов.

Однако, чем больше функций добавляется, например, улучшенная отрисовка Markdown и интеграция с Copilot, зависящая от сетевого подключения, тем больше возможностей для атак.

Компания Microsoft устранила уязвимость в обновлениях безопасности от 10 февраля 2026 года. Исправление доступно через Центр обновления Windows и механизм обновления приложений Microsoft Store. Пользователям следует установить последние накопительные обновления и убедиться, что Блокнот полностью обновлен из магазина, чтобы устранить уязвимость.

В редакционном плане этот инцидент подтверждает давний принцип проектирования программного обеспечения: простота — это залог безопасности.

Первоначальным главным достоинством Блокнота был его минимализм. Поскольку программный гигант продолжает модернизировать даже самые базовые инструменты, каждую новую функцию необходимо сопоставлять с сопутствующими рисками. Например, такие функции, как интеграция с ИИ, могут быть удобны, но также требуют более высокого уровня безопасности.

Справедливости ради, Notepad — не единственное приложение для заметок, имеющее проблемы. Недавно широко популярное приложение Notepad++ также было взломано злоумышленниками. Однако это была проблема хостинг-провайдера, которая позволила злоумышленникам перенаправлять пользователей на вредоносные серверы через скомпрометированные манифесты обновлений, а проблема заключалась в самом приложении.

С тех пор разработчик уже сменил поставщика и выпустил обновленную версию Notepad++ для повышения уровня безопасности.