В текстовом редакторе «Блокнот» (Notepad), входящем в состав Microsoft Windows 11, обнаружена критическая уязвимость, позволяющая удаленно выполнять код (RCE), сообщает Bleeping Computer.
Эта брешь дает возможность злонамеренному актору скрытно запустить произвольное программное обеспечение на устройстве пользователя. Для успешной атаки жертве необходимо лишь открыть в редакторе файл с разметкой Markdown и перейти по специальной гиперссылке, используя комбинацию клавиши «Ctrl» и клика левой кнопкой мыши.
Markdown — это облегченный язык разметки для форматирования текста, более простой, чем HTML. Он был разработан в 2004 году Джоном Грубером (John Gruber). Этот язык широко применяется для оформления записей в блогах, на форумах, в программном обеспечении для совместной работы, а также для создания справочных файлов README, которые часто размещаются в репозиториях на платформе GitHub.
Как отмечают в Microsoft, проблема в «Блокноте» возникла из-за того, что приложение не экранирует потенциально опасные специальные символы, которые могут присутствовать в документах Markdown.
«Некорректная нейтрализация специальных элементов в команде приложения "Блокнот" Windows позволяет неавторизованному злоумышленнику выполнить код через сеть», — указано в соответствующем бюллетене безопасности компании.
Уязвимости присвоен идентификатор CVE-2026-20841. Ее уровень опасности оценен в 8.8 балла по шкале CVSS v3.1, что соответствует высокой степени риска. Брешь затрагивает версии «Блокнота» с 11.0.0 по 11.2510.
Корпорация Microsoft уже выпустила исправление для «Блокнота», которое включено в последнее обновление безопасности. Данный патч распространяется через «Центр обновления Windows» начиная с 10 февраля 2026 года.
По данным Microsoft, на текущий момент не зафиксировано случаев активного использования этой уязвимости в реальных атаках.
Для эксплуатации бреши злоумышленнику требуется подготовить специально оформленный файл с расширением .md (содержащий код на Markdown), который включает определенную ссылку.
Жертве достаточно открыть такой файл в «Блокноте» и перейти по встроенной ссылке. Это активирует скрипт, который автоматически загрузит и запустит из сети вредоносный файл. Весь процесс происходит без каких-либо видимых предупреждений для пользователя.
С помощью загруженного вредоносного ПО злоумышленник может получить полный контроль над компьютером жертвы в пределах прав учетной записи Windows, под которой работает пользователь.
Эксперты по кибербезопасности оперативно изучили и описали механизм работы данной уязвимости.
В демонстрации уязвимости, представленной Bleeping Computer, вредоносный md-файл содержит ссылки с префиксами "file://" и "ms-appinstaller://", включающие URI для запуска опасного кода.
Если пользователь переходит по ссылке с протоколом "file://", Windows автоматически выполняет указанную программу. Для ссылок с "ms-appinstaller://" происходит загрузка и установка пакета приложения Windows 11 в формате appx — также без запроса подтверждения у пользователя.
Как сообщает The Register, угроза оценивается как высокая, но не критическая — 8.8 баллов, поскольку для успешной атаки через «Блокнот» злоумышленнику требуется применить методы социальной инженерии, чтобы убедить жертву открыть md-файл и перейти по ссылке. Без необходимости взаимодействия с пользователем уровень опасности данной уязвимости был бы значительно выше.
Возникновение подобной уязвимости в «Блокноте», вероятно, связано с его модернизацией. Ранее пользователи, нуждавшиеся в более продвинутых возможностях, чем базовый текстовый редактор, могли использовать WordPad, от которого Microsoft решила отказаться в 2024 году, предложив перейти на «Блокнот» или Microsoft Office.
Это решение вызвало неодобрение среди пользователей ОС — социальные сети и Feedback Hub заполнились негативными отзывами. Оказалось, что многие активно и регулярно используют WordPad в работе, считая его быстрым и удобным инструментом.
WordPad позволял создавать RTF-документы с простым форматированием. Редактор в версиях Windows 7, 8, 8.1, 10 и 11 также поддерживал форматы Office Open XML (DOCX) и OpenDocument (ODT).
Впервые WordPad был включен в состав операционной системы с выпуском Windows 95 в 1995 году. Он заменил собой более простой текстовый редактор Write, который Microsoft поставляла со всеми предыдущими версиями своей ОС, начиная с самой первой.
Помимо базового ввода текста, WordPad предлагал возможности по настройке выравнивания, шрифтов (выбор типа, размера, начертания и цвета), отступов с помощью линейки, а также межстрочных интервалов. Приложение также включало инструменты для работы с буфером обмена Windows, функции поиска и замены текста, поддерживало маркированные и нумерованные списки, вставку изображений и внешних объектов через технологию ActiveX и другие возможности.
Практически сразу после перевода WordPad в категорию устаревающих элементов Windows, Microsoft начала активно расширять возможности «Блокнота». За последние несколько лет этот когда-то предельно простой текстовый редактор не только приобрёл основные инструменты форматирования, но и обогатился проверкой правописания, работой с вкладками, подсчётом символов в редактируемом документе, а также научился создавать таблицы и списки с маркерами. Не остался в стороне и тренд на генеративный искусственный интеллект — в ряде регионов мира «Блокнот» получил интеграцию с ИИ-ассистентом Microsoft Copilot, помогающим пользователям в написании текстов. Поддержка Markdown была добавлена в приложение в мае 2025 года.
