Microsoft закрыла в «Блокноте» Windows 11 уязвимость, которая позволяла запускать вредоносный код

Microsoft подтвердила серьёзную уязвимость удалённого выполнения кода в современном приложении «Блокнот» на Windows 11.

Исправление распространяется в рамках февральского обновления Patch Tuesday 2026 года. Уязвимость, получившая идентификатор CVE-2026-20841, затрагивает приложение «Блокнот» и имеет рейтинг важности с оценкой CVSS 8.8.

По данным центра реагирования Microsoft на инциденты безопасности, уязвимость позволяет удалённому злоумышленнику выполнить код на компьютере, если пользователь откроет специально созданный Markdown-файл в «Блокноте» и кликнет по вредоносной ссылке.

Проблема возникла из-за «неправильной нейтрализации специальных элементов, используемых в командах» — категории, известной как внедрение команд. «Блокнот» может запускать непроверенные протоколы из ссылок внутри Markdown-файла, что приводит к загрузке и выполнению удалённого контента.

Злоумышленники могут отправить электронное письмо и обманом заставить открыть вредоносный .md-файл в «Блокноте». Если пользователь кликнет по ссылке, не подозревая об угрозе в «простом текстовом редакторе», вредоносный код запустится с теми же правами, что и учётная запись пользователя. Если пользователь вошёл в систему как администратор, последствия могут быть значительно хуже.

Microsoft классифицирует уязвимость как проблему внедрения команд. Когда «Блокнот» открывает Markdown-файл, он может отображать кликабельные ссылки, но обработчик приложения неправильно проверял специальные элементы внутри вредоносных ссылок.

Специально созданный файл может содержать ссылку, запускающую команду для загрузки кода с удалённого сервера. Microsoft отмечает высокое влияние на конфиденциальность, целостность и доступность системы. К счастью, активной эксплуатации не наблюдалось, а уязвимость не была публично раскрыта до выхода исправления.