В «Блокноте» Windows 11 нашли уязвимость удалённого выполнения кода

Выяснилось, что приложение «Блокнот» в Windows 11 с функциями искусственного интеллекта ^[1] содержит ^[2] серьёзную уязвимость, которая позволяет хакерам отправлять зашифрованные текстовые файлы и удалённо взламывать системы пользователей одним щелчком мыши.

Уязвимость, получившая обозначение CVE-2026-20841, имеет ^[3] рейтинг серьёзности 8,8 из 10. Microsoft исправила её в рамках ежемесячных обновлений безопасности.

Согласно данным компании, хакеры могут обманом заставить пользователей Windows перейти по вредоносной ссылке внутри файла Markdown — текстового документа, который по умолчанию открывается приложением «Блокнот» в большинстве систем Windows, если не указано другое приложение. Это приведет к запуску «Блокнотом» непроверенных протоколов, которые загружают и выполняют удалённые файлы.

Microsoft предупреждает, что один щелчок может выполнить вредоносный удалённый код с теми же правами доступа, что и у пользователя.

«Неправильная нейтрализация специальных элементов, используемых в команде (“command injection”) в приложении “Блокнот” Windows, позволяет неавторизованному злоумышленнику выполнять код по сети», — говорится в рекомендациях.

Сама Microsoft признаёт, что потенциальные атаки несложны, не требуют дополнительных привилегий, но предоставят злоумышленникам доступ к крайне конфиденциальным данным.

«В новом “Блокноте” на Windows 11 с поддержкой ИИ обнаружена уязвимость нулевого дня, позволяющая удалённо выполнять код. Смелое предположение: текстовым редакторам не нужна сетевая функциональность», — отметили ^[4] исследователи вредоносного ПО vx-underground в соцсети X. Это мнение разделяют многие другие эксперты и пользователи, которые жалуются, что Microsoft сама навязала пользователям «Блокнота» эти функции, не спросив, нужны ли они кому-либо.

Манель Родеро, инженер-программист из Политехнического университета Каталонии, тоже жалуется, что «Microsoft превращает “Блокнот” в медленный, перегруженный функциями беспорядок, который нам не нужен».

«Нам просто нужно что-то для открытия текстовых файлов, а не редактор на базе ИИ с такими уязвимостями безопасности. Кто, чёрт возьми, отвечает за эту разработку?» — пишет Родеро. «Что ж, появилась новая функция», — так высмеял наличие уязвимости пользователь X.

Летом 2025 года Markdown-разметка в «Блокноте» Windows 11 стала доступна ^[5] всем пользователям. Там теперь можно форматировать заголовки через значок «H1», создавать маркированные и нумерованные списки, выделять текст жирным шрифтом или курсивом. Наконец, инструмент поддерживает гиперссылки.

С января форматирование Markdown можно отключить ^[6], чтобы удалить таблицы и другие функции, такие как возможность выделения текста жирным шрифтом или курсивом. В настройках также можно отключить функции Copilot ^[7], связанные с Microsoft 365.