Компания Microsoft устранила уязвимость «удаленного выполнения кода» в «Блокноте» Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по специально созданным ссылкам Markdown без отображения каких-либо предупреждений системы безопасности Windows.
С выходом Windows 1.0 компания Microsoft представила «Блокнот» — простой и удобный текстовый редактор, который со временем стал популярным инструментом для быстрого создания заметок, чтения текстовых файлов, составления списков дел и редактирования кода.
Для тех, кому нужен был редактор форматированного текста (RTF), поддерживающий различные шрифты, размеры и инструменты форматирования, такие как полужирный шрифт, курсив и списки, можно было использовать Windows Write, а позже — WordPad.
Однако с выходом Windows 11 компания Microsoft решила отказаться от WordPad и удалить его из Windows.
Вместо этого Microsoft переписала «Блокнот», чтобы модернизировать его и сделать универсальным текстовым редактором и редактором RTF с поддержкой Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Благодаря поддержке Markdown Блокнот может открывать, редактировать и сохранять файлы в формате Markdown (.md) — это обычные текстовые файлы, в которых используются простые символы для форматирования текста и обозначения списков или ссылок.
Например, чтобы выделить текст жирным шрифтом или создать кликабельную ссылку, нужно добавить следующий текст в формате Markdown:
**This is bold text**
[Link to BleepingComputer](https://www.bleepingcomputer.com/)
Microsoft устраняет уязвимость, связанную с удаленным выполнением кода в Windows Notepad
В рамках обновлений Patch Tuesday за февраль 2026 года компания Microsoft сообщила об устранении уязвимости, связанной с удаленным выполнением кода в Notepad, которая имела высокий уровень опасности и была зарегистрирована как CVE-2026-20841.
«Неправильная нейтрализация специальных элементов, используемых в команде (так называемая командная инъекция), в приложении «Блокнот» в Windows позволяет злоумышленнику, не имеющему прав доступа, выполнять код через сеть», — говорится в бюллетене по безопасности от Microsoft.
Microsoft сообщила, что уязвимость была обнаружена Кристианом Папой, Аласдером Горняком и Ченом, и что ее можно использовать, обманом заставив пользователя перейти по вредоносной ссылке в Markdown.
«Злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке в файле Markdown, открытом в «Блокноте», что приведет к запуску в приложении непроверенных протоколов, которые загружают и запускают удаленные файлы», — объясняет Microsoft.
«Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, что даст злоумышленнику те же права, что и у этого пользователя», — говорится в рекомендациях.
Новизна уязвимости быстро привлекла внимание в социальных сетях. Исследователи в области кибербезопасности быстро разобрались, как она работает и насколько легко ею воспользоваться.
Все, что нужно было сделать, — это создать файл в формате Markdown, например test.md, и добавить ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, например ms-appinstaller://.
Markdown для создания ссылок на исполняемые файлы или для установки приложений
Источник: BTtea
Если пользователь откроет этот файл Markdown в «Блокноте» Windows 11 версии 11.2510 или более ранней и откроет его в режиме Markdown, приведенный выше текст отобразится в виде кликабельной ссылки. Если нажать на ссылку, удерживая клавишу Ctrl, файл будет автоматически запущен без предупреждения со стороны Windows.
По мнению Microsoft, уязвимостью, связанной с удаленным выполнением кода, является запуск программы без предупреждения.
Командная строка Windows 11 запускается без предупреждения
Источник: BTtea
Это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных общих папках SMB, которые будут запускаться без предупреждения.
По результатам тестов BleepingComputer, компания Microsoft исправила уязвимость в «Блокноте» Windows 11, добавив предупреждение при переходе по ссылке, если она не использует протокол http:// или https://.
Блокнот в Windows 11 выдает предупреждение при открытии нестандартных URL-адресов
Источник: BleepingComputer
Теперь при нажатии на все остальные типы URI-ссылок, включая file:, ms-settings:, ms-appinstaller, mailto: и ms-search:, в «Блокноте» будет отображаться указанное выше диалоговое окно.
Однако непонятно, почему Microsoft вообще не запретила нестандартные ссылки, ведь пользователей по-прежнему можно обманом заставить нажать кнопку «Да» в подсказках.
Хорошая новость в том, что Windows 11 автоматически обновит «Блокнот» через Microsoft Store, так что эта ошибка, скорее всего, не будет иметь никаких последствий, кроме того, что она появилась впервые.