«Блокнот» обзавёлся ИИ и чуть не превратил каждый .md-файл в троян. Microsoft это отрицает, но патч уже вышел
Microsoft прикрыла опасную «лазейку» в стандартном приложении Windows 11, которое раньше никто всерьёз не воспринимал как угрозу. Встроенный «Блокнот» — тот самый, где десятилетиями просто писали заметки и правили конфиги — получил поддержку ИИ с рядом других функций, а вместе с ней и уязвимость, позволяющую запустить вредоносный код буквально одним кликом.
Проблему идентифицировали как CVE-2026-20841 и закрыли в февральском патче. Суть — в некорректной обработке специально сформированных ссылок внутри .md-файлов. Если раньше «Блокнот» был просто текстовым полем, то теперь он научился распознавать разметку и делать ссылки кликабельными и именно эта «кликабельность» и сыграла злую шутку.
Исследователи выяснили: если создать файл с разметкой, где ссылка ведёт не на http/https, а на file:// или, скажем, ms-appinstaller://, и открыть его в уязвимой версии Notepad (11.2510 и младше), то нажатие Ctrl+клик заставит систему выполнить код без каких-либо предупреждений. Ссылка могла указывать на исполняемый файл в общей SMB-папке или на удалённом сервере и злоумышленник получал ровно те права, с которыми работал сам пользователь.
Патч вышел быстро и, что характерно, не через обновление самой ОС, а через магазин приложений — «Блокнот» теперь живёт отдельной жизнью и обновляется независимо. В свежих версиях логика изменилась: при попытке перейти по ссылке с нестандартным протоколом приложение показывает диалог с вопросом, действительно ли вы этого хотите. Всё это выглядит как классическая история про то, как добавление «умных» функций в старый, надёжный инструмент открывает новые векторы атак.
Кстати, сам факт, что уязвимость закрыли апдейтом отдельного приложения, а не заплаткой для всей системы — уже показатель того, как Microsoft
