微软已修复 Windows 记事本应用中的一个关键远程代码执行(RCE)漏洞(CVE-2026-20841),该漏洞可能允许攻击者在受害者机器上运行恶意代码。
此漏洞影响通过微软商店提供的现代版 Windows 记事本应用。未经授权的攻击者可通过网络诱骗用户打开特制的 Markdown(.md)文件进行利用。
文件加载后,其中的恶意链接会促使应用处理未经验证的协议。点击该链接将触发记事本获取并执行远程文件,在未经适当清理的情况下注入任意命令。
攻击者使用自定义方案(例如模仿安全协议但指向攻击者控制的服务器)制作带有超链接的 Markdown 文件。当用户在记事本中打开文件并点击链接时,应用会直接处理该链接,导致命令注入。
有效载荷将在登录用户的安全上下文中执行,授予攻击者相同的权限——如果用户具有管理员权限,则可能从文件访问升级到权限提升。
解决方式
立即从微软商店更新记事本
在 Windows 设置中启用自动应用更新
避免打开不受信任的 Markdown 文件或点击其中的链接
使用具有基于行为检测功能的杀毒软件来检测异常的协议处理程序
影响范围
Windows 11
通过应用商店安装的记事本
漏洞修复措施
补丁已通过微软商店为记事本(版本 11.2510+)推出,包含完整的发布说明和直接安全更新链接。由于需要用户操作,用户必须手动更新或启用自动更新。微软感谢独立研究人员 Delta Obscura(delta.cyberm.ca)和 "chen" 的协调披露。
此漏洞凸显了处理富文本(如 Markdown)的日常应用中的风险,特别是随着记事本从基本编辑器发展为功能丰富的工具。虽然传统 Notepad.exe 不受影响,但商店版本的流行扩大了暴露面。
个人建议
日常生活中要做到:
未知链接不点击
未知文件不打开
未知软件不安装
提高防范意识,铸牢网络安全防线!