Nawet notatnik Windowsa 11 stanowi zagrożenie. Prosty edytor tekstu posiadał lukę umożliwiającą zdalne wykonanie kodu
Wygląda na to, że w obecnych czasach nawet windowsowy notatnik, mający być w założeniu najprostszym możliwym edytorem tekstu, pozbawionym wszelkich zbędnych zapychaczy, może stanowić zagrożenie dla bezpieczeństwa komputera. W programie zidentyfikowano lukę sklasyfikowaną jako CVE-2026-20841, która umożliwiała przestępcom zdalne wykonanie kodu na maszynie będącej celem ataku.
Wpychanie na siłę tony funkcji do aplikacji, które ich nie potrzebują, zaczyna wychodzić Microsoftowi bokiem. Zidentyfikowana niedawno w windowsowym notatniku luka, sklasyfikowana jako CVE-2026-20841, umożliwiała zdalne wykonanie kodu na maszynie będącej obiektem ataku cyberprzestępców. Wystarczyło, aby użytkownik kliknął złośliwe złącze znajdujące się w pliku Markdown (program doczekał się możliwości ich obsługi względnie niedawno i, jak widać, opcja ta nie została zbyt dokładnie przetestowana), aby edytor tekstu "uruchomił niezweryfikowane protokoły ładujące i wykonujące zdalne pliki".
Nawet notatnik Windowsa 11 miał lukę w zabezpieczeniach
Co prawda luka została już załatana przez Microsoft, niemniej pytaniem pozostaje, czy sytuacje, w których podstawowy soft zaczyna stanowić niebezpieczeństwo, w ogóle powinny mieć miejsce i czy edytor tekstu służący, jak sama jego nazwa wskazuje, do robienia krótkich wpisów, potrzebuje dostępu do sieci i integracji ze sztuczną inteligencją? O ile w przypadku kombajnów pokroju Worda obecność takich funkcji można by było jeszcze względnie sensownie uzasadnić, tak raczej mało kto doszedł do wniosku, że tym, czego brakuje notatnikowi, jest Copilot.
Za odkrycie dziury w zabezpieczeniach tytułowego programu możemy podziękować trójce badaczy: Cristianowi-Iulianowi Papie, Alasdairowi Gorniakowi oraz niejakiemu chenowi, pragnącemu zachować anonimowość.
Jak możemy przeczytać, według metryki CVSS wektor ataku jest lokalny (AV:L), niemniej tytuł luki wskazuje na to, że umożliwia ona zdalne wykonywanie kodu. Gigant z Redmond postanowił wyjaśnić tę nieścisłość w następujący sposób:
Słowo "zdalny" w tytule odnosi się do lokalizacji atakującego. Ten rodzaj exploita jest czasami nazywany arbitralnym wykonywaniem kodu (ACE). Sam atak jest przeprowadzany lokalnie. Na przykład, gdy wynik wskazuje, że wektor ataku jest lokalny i wymagana jest interakcja użytkownika, może to oznaczać exploit, w którym atakujący, wykorzystując socjotechnikę, przekonuje ofiarę do pobrania i otwarcia specjalnie spreparowanego pliku ze strony internetowej, co prowadzi do lokalnego ataku na jej komputer.
W wielkim, acz niepozbawionym technicznego żargonu, skrócie – "nieprawidłowa neutralizacja specjalnych elementów użytych w poleceniu ("wstrzyknięcie polecenia") w aplikacji Notatnik systemu Windows umożliwia nieautoryzowanemu atakującemu wykonanie kodu lokalnie". W bardziej zrozumiałym skrócie – kliknięcie łącza wewnątrz pliku tekstowego może skończyć się sporymi problemami.
Jeśli wierzyć informacjom zawartym na stronie Microsoftu, luka CVE-2026-20841 nie zdążyła zostać wykorzystana przez przestępców, a jej istnienie nie zostało publicznie ujawnione przed opublikowaniem stosownej łatki. Poprawka zabezpieczeń powinna zostać automatycznie zainstalowana na naszym komputerze, niemniej warto rzucić okiem na Windows Update i sprawdzić, czy nie utknęła ona w kolejce aktualizacji oczekujących na pobranie.
Jakub Dmuchowski, redaktor pcformat.pl
