Выяснилось, что приложение «Блокнот» в Windows 11 с функциями искусственного интеллекта содержит серьёзную уязвимость, которая позволяет хакерам отправлять зашифрованные текстовые файлы и удалённо взламывать системы пользователей одним щелчком мыши.
Уязвимость, получившая обозначение CVE-2026-20841, имеет рейтинг серьёзности 8,8 из 10. Microsoft исправила её в рамках ежемесячных обновлений безопасности.
Согласно данным компании, хакеры могут обманом заставить пользователей Windows перейти по вредоносной ссылке внутри файла Markdown — текстового документа, который по умолчанию открывается приложением «Блокнот» в большинстве систем Windows, если не указано другое приложение. Это приведет к запуску «Блокнотом» непроверенных протоколов, которые загружают и выполняют удалённые файлы.
Microsoft предупреждает, что один щелчок может выполнить вредоносный удалённый код с теми же правами доступа, что и у пользователя.
«Неправильная нейтрализация специальных элементов, используемых в команде (“command injection”) в приложении “Блокнот” Windows, позволяет неавторизованному злоумышленнику выполнять код по сети», — говорится в рекомендациях.
Сама Microsoft признаёт, что потенциальные атаки несложны, не требуют дополнительных привилегий, но предоставят злоумышленникам доступ к крайне конфиденциальным данным.
«В новом “Блокноте” на Windows 11 с поддержкой ИИ обнаружена уязвимость нулевого дня, позволяющая удалённо выполнять код. Смелое предположение: текстовым редакторам не нужна сетевая функциональность», — отметили исследователи вредоносного ПО vx-underground в соцсети X. Это мнение разделяют многие другие эксперты и пользователи, которые жалуются, что Microsoft сама навязала пользователям «Блокнота» эти функции, не спросив, нужны ли они кому-либо.
Манель Родеро, инженер-программист из Политехнического университета Каталонии, тоже жалуется, что «Microsoft превращает “Блокнот” в медленный, перегруженный функциями беспорядок, который нам не нужен».
«Нам просто нужно что-то для открытия текстовых файлов, а не редактор на базе ИИ с такими уязвимостями безопасности. Кто, чёрт возьми, отвечает за эту разработку?» — пишет Родеро. «Что ж, появилась новая функция», — так высмеял наличие уязвимости пользователь X.
Летом 2025 года Markdown-разметка в «Блокноте» Windows 11 стала доступна всем пользователям. Там теперь можно форматировать заголовки через значок «H1», создавать маркированные и нумерованные списки, выделять текст жирным шрифтом или курсивом. Наконец, инструмент поддерживает гиперссылки.
С января форматирование Markdown можно отключить, чтобы удалить таблицы и другие функции, такие как возможность выделения текста жирным шрифтом или курсивом. В настройках также можно отключить функции Copilot, связанные с Microsoft 365.
Автор: maybe_elf
