Microsoft исправила серьёзную уязвимость в стандартном приложении Windows «Блокнот» (Notepad), связанную с недавними функциями работы с Markdown. Обновление безопасности вышло 10 февраля 2026 года в составе ежемесячного пакета Patch Tuesday.
Уязвимости присвоен идентификатор CVE-2026-20841. По данным Microsoft, проблема была связана с «некорректной нейтрализацией специальных элементов в команде» и представляла собой уязвимость удалённого выполнения кода (RCE), которая позволяла злоумышленнику «исполнять код по сети» через приложение Notepad.
Сбой затрагивал функцию поддержки Markdown, добавленную в «Блокнот» в 2025 году. По описанию Microsoft, если атакующему удавалось убедить пользователя открыть через Notepad Markdown-файл со специально подготовленной вредоносной ссылкой, приложение могло запустить удалённый файл.
Дополнительный риск заключался в том, что вредоносный код выполнялся с теми же правами, что и пользователь, запустивший Notepad, то есть злоумышленник получал такие же разрешения безопасности, как владелец учётной записи.
По шкале CVSS уязвимость получила оценку 8,8 из 10, что относится к высокому уровню опасности. При этом Microsoft отмечает, что подтверждённых случаев эксплуатации данной проблемы «в дикой природе» на момент выпуска патча нет.
Уязвимость исправлена в февральском обновлении безопасности 2026 года. По данным Microsoft, ей были подвержены версии Notepad с 11.0.0 до 11.2509 включительно; обновление до версии 11.2510 и новее устраняет проблему. Пользователям Windows рекомендуют установить последние обновления системы.
Проблема в «Блокноте» появилась на фоне общего расширения функциональности приложения, в том числе интеграции функций ИИ в экосистему Windows и Notepad. Ранее часть пользователей критиковала усложнение классического лёгкого текстового редактора и зависимость некоторых функций от серверов Microsoft.
Отдельно от этого инцидента недавно сообщалось и о другой серьёзной уязвимости уже в альтернативном редакторе Notepad++, что усилило внимание к безопасности текстовых редакторов на Windows.
Источник: Windows Central, данные Microsoft о безопасности (CVE-2026-20841).
