Корпорация Microsoft устранила критическую уязвимость в приложении «Блокнот» (Notepad) для Windows 11. Ошибка, получившая идентификатор CVE-2026-20841, позволяла злоумышленнику выполнить произвольный код на компьютере жертвы через специально созданный Markdown-файл. Эксплуатация уязвимости требовала лишь одного клика пользователя по вредоносной ссылке внутри документа.
Детали уязвимости
Согласно официальному описанию, проблема классифицируется как CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection'), то есть некорректная нейтрализация специальных элементов в команде. Вредоносный код выполнялся в контексте прав текущего пользователя. Следовательно, атакующий получал те же привилегии для установки программ, просмотра, изменения или удаления данных, а также создания новых учетных записей.
Уязвимость затрагивала «Блокнот» версий от 11.0.0 до 11.2510. Её оценка по шкале CVSS 3.1 составила 8.8 баллов, что соответствует высокому уровню опасности. Вектор атаки (AV:N) предполагает эксплуатацию через сеть, а низкая сложность реализации (AC:L) и отсутствие требований к привилегиям (PR:N) делали угрозу особенно актуальной. Однако для успешной атаки требовалось взаимодействие с пользователем (UI:R), который должен был открыть файл и кликнуть по ссылке.
Появление этой уязвимости напрямую связано с масштабным обновлением классического приложения, которое Microsoft провела для Windows 11. Компания решила отказаться от WordPad и значительно расширила функционал «Блокнота». Теперь редактор поддерживает форматирование и язык разметки Markdown, включая автоматическое преобразование ссылок в кликабельные элементы. Именно эта новая функциональность и стала вектором для атаки.
Исследователи безопасности детально изучили механизм эксплуатации. Оказалось, что для атаки достаточно создать Markdown-файл (.md), содержащий ссылки с использованием протокола "file://", указывающие на локальные исполняемые файлы, или специальные URI-схемы, например, "ms-appinstaller://". Если пользователь открывал такой документ в уязвимой версии «Блокнота», переключался в режим предпросмотра Markdown и нажимал на ссылку, указанная программа или скрипт запускались немедленно и без каких-либо предупреждений со стороны операционной системы.
Более того, угроза не ограничивалась локальной файловой системой. Ссылки могли указывать на исполняемые файлы, расположенные на удаленных сетевых ресурсах, например, в общих папках SMB. Это значительно расширяло потенциал для распространения вредоносного ПО или программ-вымогателей в корпоративных сетях.
Microsoft исправила проблему в рамках ежемесячного цикла обновлений безопасности, известного как «Вторник патчей». Ключевым изменением стало внедрение диалогового окна подтверждения для всех ссылок, использующих протоколы, отличные от стандартных "http://" и "https://". Теперь при попытке перехода по ссылкам со схемами "file:", "ms-settings:", "mailto:" или "ms-appinstaller:" приложение будет показывать пользователю предупреждение о потенциальной опасности, запрашивая явное разрешение на действие.
Важно отметить, что современный «Блокнот» для Windows 11 обновляется через официальный магазин приложений Microsoft Store, а не через Центр обновления Windows. Следовательно, исправление должно распространяться автоматически при включенной по умолчанию функции автоматических обновлений магазина. Такой механизм распространения патчей минимизирует окно уязвимости и снижает потенциальный ущерб.
Этот инцидент стал наглядным примером того, как добавление нового функционала, особенно связанного с обработкой внешних данных, может неожиданно создать серьезные бреши в безопасности даже в самых привычных и давно существующих приложениях. Эксперты рекомендуют пользователям и администраторам всегда своевременно устанавливать обновления для всех компонентов системы, включая те, что поставляются через магазины приложений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20841
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-20841
