Microsoft zepsuł Notatnik. Tak się kończy wielkie gównowacenie
Notatnik w Windows 11 z poważną luką. Kiedyś był nudnym edytorem tekstu, teraz może uruchamiać malware jednym kliknięciem.
Jeszcze kilka lat temu Notatnik był tak prosty, że trudno było go zepsuć. Ot, cyfrowy odpowiednik kartki papieru - zero fajerwerków, zero integracji, zero ryzyka. Gdyby ktoś wtedy powiedział, że Notatnik stanie się wektorem ataku prowadzącym do zdalnego wykonania kodu to większość osób parsknęłaby śmiechem. A jednak: oto jesteśmy w 2026 r., a Microsoft właśnie załatał lukę bezpieczeństwa w Notatniku, która pozwalała na uruchomienie złośliwego kodu bez żadnego ostrzeżenia systemu.
Markdown + pośpiech = kłopoty
Wraz z Windowsem 11 Microsoft postanowił przepisać Notatnik niemalże od nowa. A skoro już się na to zdecydowano, to dorzucili mu obsługę Markdown, podgląd formatowania, klikalne linki, a ostatnio także integrację z Copilotem. Problem w tym, że każda nowa funkcja to dodatkowy kod, a każdy dodatkowy kod to potencjalne błędy. I dokładnie taki błąd - poważny, bo umożliwiający zdalne wykonanie kodu - właśnie odkryto.
Czytaj też:
Luka została oznaczona jako CVE‑2026‑20841 i oceniona na 8,8/10 w skali CVSS, czyli bardzo wysoko. Jej istota jest prosta: Notatnik nieprawidłowo neutralizował specjalne elementy w linkach Markdown, co umożliwiało tzw. command injection. W praktyce oznacza to, że kliknięcie linku w pliku .md mogło uruchomić dowolny protokół - w tym taki, który pobiera i wykonuje zdalny plik. Bez pytania o zgodę. Bez ostrzeżenia. Bez UAC. Po prostu klik i leci.
Wystarczyło więc przygotować plik Markdown z linkiem typu file:// lub ms-appinstaller://, wysłać go ofierze (np. w phishingowym mailu), a następnie liczyć na to, że użytkownik otworzy go w Notatniku i kliknie link. To wszystko.
Jeśli użytkownik miał uprawnienia administratora - a wielu nadal tak pracuje - atakujący dostawał pełnię możliwości. Jeśli nie, i tak mógł zrobić sporo szkód, bo złośliwy kod wykonywał się z uprawnieniami aktualnie zalogowanego użytkownika.
Warto tu podkreślić pewną ironię
Przez dekady Notatnik był przykładem aplikacji, której nie da się zepsuć. Minimalistyczny, szybki, przewidywalny. Idealny do szybkich notatek, logów, plików konfiguracyjnych. Zero integracji z siecią, zero dynamicznych funkcji, zero ryzyka.
A potem prezes Nadella nakazał, że wszystko musi mieć AI. No bo wszystko musi być nowoczesne, wszystko musi być aplikacją z funkcjami, o które nikt nie prosił. I nagle Notatnik - ten sam, który kiedyś był cyfrowym odpowiednikiem kartki papieru - stał się aplikacją z obsługą Markdown, linków, podglądu, a nawet Copilota. I, jak widać, z nowymi możliwościami przyszły też nowe problemy.
Dobra wiadomość: luka została już załatana w ramach lutowego Patch Tuesday. Jeśli masz Notatnik w wersji 11.2510 lub starszej to koniecznie zaktualizuj system - poprawka powinna pobrać się automatycznie. Microsoft podkreśla, że nie odnotowano aktywnego wykorzystywania tej podatności przed publikacją łatki.
Zła wiadomość: to kolejny przykład na to, że szybkie modernizowanie klasycznych aplikacji bez odpowiedniej kontroli jakości może prowadzić do poważnych konsekwencji. Notatnik nie powinien być aplikacją, która potrafi uruchamiać zdalny kod. A jednak przez chwilę był. To chyba nie jest kierunek, którego oczekiwali użytkownicy.
