Zraniteľnosť Windows Notepad umožňuje vzdialené vykonanie kódu prostredníctvom dokumentov Markdown

Spoločnosť Microsoft v rámci Patch Tuesday vo februári 2026 opravila vysoko závažnú bezpečnostnú zraniteľnosť v textovom editore Windows Notepad.  CVE-2026-20841 umožňuje vzdialené vykonanie kódu prostredníctvom dokumentu Markdown.

Zraniteľné systémy:

• Windows Notepad

Opis zraniteľnosti:

CVE-2026-20841 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť aplikácie Notepad s označením CVE-2026-20841 spočíva v nesprávnej neutralizácii špeciálnych prvkov. Vzdialený neautorizovaný útočník by ju mohol zneužiť podvrhnutím špeciálne vytvorených súborov typu Markdown na vzdialené vykonanie kódu v kontexte obete.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí kliknúť na URL odkaz v dokumente typu Markdown, otvorenom v aplikácii Notepad.

Na uvedenú zraniteľnosť je dostupný tzv. návod Proof-of-Concept demonštrujúci princíp jej zneužitia.

Možné škody:

• Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu aplikácie Windows Notepad.

Zdroje:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841
• https://nvd.nist.gov/vuln/detail/CVE-2026-20841
• https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/