Компания Microsoft выпустила обновление безопасности для устранения критической уязвимости во встроенном текстовом редакторе операционной системы Window — в «Блокноте». Она позволяла удалённо выполнять вредоносный код на персональном компьютере жертвы.
Уязвимость CVE-2026-20841 возникает из-за некорректной блокировки или удаления «Блокнотом» специальных символов в определённых командах. Она затрагивает современную версию приложения, доступную в магазине Microsoft Store, в частности, когда пользователи работают с файлами Markdown (.md).
Согласно описанию на официальном сайте Microsoft, злоумышленник может использовать эту уязвимость, чтобы создать файл Markdown, содержащий специальные ссылки. Если пользователь откроет такой файл и кликнет по одной из ссылок, может запуститься скрипт для загрузки и выполнения вредоносного кода. В случае успешного выполнения злоумышленник получит полный доступ над персональным компьютером со всеми правами администратора. Уязвимость получила базовый балл CVSS v3.1 8.8, означающий высокую степень серьёзности.
В Microsoft утверждают, что устранили уязвимость в рамках «обновления по вторникам» от 10 февраля 2026 года. Обнаружение уязвимости заставило некоторых пользователей задуматься в решении Microsoft добавить в «Блокнот» сетевые функции. Многие уверены, что простому текстовому редактору не нужно постоянно подключаться к интернету.
Источник: trashbox.ru