Резюме создано Smart Answers AI
В итоге:
- PCWorld сообщает, что новая функция поддержки Markdown в Блокноте Windows привела к серьезной уязвимости удаленного выполнения кода с высоким рейтингом CVSS 8,8/7,7.
- Уязвимость безопасности позволяет вредоносным файлам Markdown загружать и выполнять внешний код при открытии, хотя для этого требуется взаимодействие с пользователем и тактика социальной инженерии.
- В настоящее время у Microsoft нет решения для этой уязвимости, и она советует пользователям избегать загрузки файлов из ненадежных источников, чтобы предотвратить потенциальные атаки.
Рискуя перейти в режим «старик кричит на облако», я помню, когда «Блокнот» был самым простым текстовым редактором. По этой причине некоторым программистам и писателям понравилась программа, которая включена в каждую версию Windows (и более ранние). Но Microsoft разрабатывала Блокнот с тех пор, как уничтожила Wordpad… и теперь Блокнот достаточно сложен, чтобы поддерживать удаленное выполнение кода. Аккуратный.
Для непосвященных удаленное выполнение кода (RCE) представляет собой уязвимость безопасности, которая позволяет загружать и запускать внешнюю программу без разрешения или ведома пользователя. Это своего рода атака, которая невозможна даже в самом простом текстовом редакторе. Но благодаря множеству новых функций в Блокноте — вплоть до интеграции с «ИИ» через Copilot — он стал намного более уязвимым, чем раньше. Последняя проблема связана с поддержкой Блокнотом Markdown, базовой системы форматирования, которая была добавлена в июле 2025 года.
Новая проблема была освещена самой Microsoft в бюллетене по безопасности. Это выглядит следующим образом: пользователь загружает файл с текстом в формате Markdown внутри, затем открывает его в Блокноте. Благодаря поддержке Markdown ссылка появляется с выделением в соответствии со стандартами веб-сайтов, как показано ниже. Большинство пользователей поймут, что эта ссылка ведет на веб-сайт… но она также может инициировать удаленную загрузку кода, чего Notepad не мог сделать даже всего год назад. Удаленный код затем активируется с тем же уровнем разрешений, что и пользователь Windows.
Проблема получает стандартизированную оценку CVSS 8,8/7,7, что делает ее серьезной проблемой безопасности для Microsoft, не имеющей текущего решения. К счастью, для этого требуется загрузка отдельного файла и тщательно продуманное взаимодействие с пользователем, поэтому для фактического осуществления атаки требуется некоторая работа. (Для максимальной эффективности это должно сочетаться с небольшим количеством социальной инженерии и хитрости.) Здесь применим старый добрый совет «не скачивайте ничего из ненадежных источников».
Это проблема, которой не было в предыдущих версиях Блокнота. Но здесь я должен отметить, что то, что вы используете менее «современную» альтернативу, не означает, что вы в полной безопасности. Например, Notepad++ (программа с открытым исходным кодом, не принадлежащая Microsoft, которая десятилетиями пользовалась популярностью среди опытных пользователей) недавно была скомпрометирована в результате целенаправленной атаки на серверы обновлений приложения.
