来源: https://www.pcmag.com/news/bloat-risk-microsofts-notepad-upgrade-also-introduced-a-vulnerability
该漏洞利用记事本最近新增的对 Markdown(一种用于网站和文件的格式语言)的支持,在 Windows PC 上运行恶意代码。
微软为使不起眼的记事本应用程序现代化所做的努力也付出了代价:安全研究人员在一次功能更新后发现该程序存在严重漏洞。
微软周二披露的这一漏洞可被利用在Windows电脑上运行恶意代码。该公司警告称,黑客可以通过在记事本打开的文件中嵌入恶意链接来利用该漏洞,“导致该应用程序启动未经验证的协议,从而加载并执行远程文件”。
这个名为CVE-2026-20841的漏洞引起了人们的关注,因为记事本一直以来都被认为是一款功能较为基础的文本编辑器。然而,该漏洞利用了记事本最近新增的 Markdown 支持, Markdown是一种用于网站和文件的格式化语言。今年 5 月,微软推出了对 Markdown 样式输入和文件的支持,以满足“喜欢直接使用这种轻量级标记语言的用户”的需求。
后来,三名研究人员发现,如果记事本打开一个包含恶意链接的陷阱 Markdown 文件,Markdown 支持可能会造成安全风险。
微软已于 2026 年 2 月通过 Windows安全更新发布了修复程序,用户可以通过自动更新轻松安装。尽管如此,该漏洞仍然引发了关于 Windows 应用程序是否应该添加可能引入安全漏洞的新功能的争论。
谁能想到,功能越多,漏洞就越多呢?”安全研究员李海飞在推特上写道。
与此同时,恶意软件库服务平台 VX-Underground在推特上发文称:“大胆观点:文本编辑器不需要网络功能。” 这是因为,除了标记语言支持之外,微软还为该应用添加了人工智能驱动的文本编写功能。
hacker news讨论: https://news.ycombinator.com/item?id=46971516
