- Обнаружена уязвимость CVE-2026-20841 в текстовом редакторе «Блокнот» Windows 11 с функциями искусственного интеллекта.
- Уязвимость позволяет злоумышленникам удалённо выполнять вредоносный код через специально сформированные Markdown-файлы.
- Microsoft выпустила патч, устраняющий уязвимость, однако эксперты выражают обеспокоенность из-за расширения функциональности «Блокнота» и связанных с этим рисков безопасности.
Специалисты по информационной безопасности выявили серьёзную уязвимость в приложении «Блокнот» Windows 11, которое недавно получило поддержку функций искусственного интеллекта и форматирования Markdown. Данная уязвимость, классифицированная как CVE-2026-20841 и имеющая высокий уровень опасности с рейтингом 8,8 из 10, позволяет злоумышленникам удалённо выполнить произвольный код на компьютере пользователя.
Суть проблемы заключается в том, что через специально подготовленные текстовые файлы с разметкой Markdown можно обмануть «Блокнот», чтобы он запустил вредоносные удалённые файлы с теми же правами, что и пользователь. Для успешной атаки злоумышленнику достаточно убедить жертву перейти по вредоносной ссылке внутри такого файла. Особенность уязвимости в том, что она не требует специальных привилегий и сложных действий со стороны пользователя – достаточно одного клика.
В ответ на обнаруженные угрозы компания Microsoft оперативно выпустила обновление безопасности, устраняющее эту уязвимость. При этом представители компании предупреждают, что взлом через подобные методы может привести к раскрытию конфиденциальных данных и нанесению серьёзного ущерба системе.
Многие эксперты и пользователи критикуют Microsoft за расширение функциональных возможностей «Блокнота», которые изначально задумывались как простой текстовый редактор. В частности, появились функции искусственного интеллекта и поддержка Markdown, что позволило в корне изменить характер приложения, но одновременно увеличило поверхность для различных атак. Критики выражают мнение, что подобные комплексные функции не должны быть встроены в базовый редактор, поскольку это повышает риски безопасности и ухудшает производительность.
Так, инженер-программист Манель Родеро из Политехнического университета Каталонии отметил, что «Блокнот» превратился в медленное и перегруженное приложение, которое далеко от простой задачи открытия текстовых файлов. Сообщество безопасности рассматривает данный инцидент как пример «feature creep» — чрезмерного увеличения функционала, приводящего к непредвиденным уязвимостям.
Напомним, что поддержку Markdown в «Блокноте» ввели летом 2025 года, добавив возможности форматирования заголовков, списков, выделения текста и вставки гиперссылок. Позднее разработчики предоставили пользователям возможность отключать данное форматирование и функции Copilot, связанные с Microsoft 365, что может повысить уровень безопасности использования приложения.
