Modernizată și adusă în era AI, inclusiv prin restricționarea unor funcții în spatele unei opțiuni de abonament, aplicația Notepad a căzut pradă propriului „succes”, îmbunătățirile aduse cu scopul de a spori funcționalitatea aplicației lansată pe vremea lui Windows 95 transformând-o într-o vulnerabilitate Windows 11 cu risc major.
Concret, versiunea Notepad ultra-sofisticată preinstaltă pe dispozitivele cu sistem de operare Windows 11 conținea un bug care ar fi putut permite autorilor malware să infiltreze aplicații malițioase fără ca sistemul de operare să ridice vreo obiecție.
Notepad este dintre cele mai vechi aplicații Windows, însă doar dacă folosești o versiune Windows mai veche. În acest caz, aplicația a fost prezentă încă de la începuturi și lăsată practic neschimbată de a lungul timpului, pe motiv că nu ai avea ce îmbunătățiri să aduci unui editor text intenționat să ofere doar funcționalitate de bază și care funcționează perfect în acel rol.
Însă cineva din conducerea Microsoft a ajuns cumva la concluzia că reputația inofensivă a aplicației Notepad trebuie cumva monetizată, transformând-o într-o aplicație super-puternică cu AI, utilizatorii dorind să plătească un abonament lunar pentru accesarea funcțiilor cele mai avansate. Și uite așa, umilul Notepad a „învățat” să scrie de unul singur cu funcția Write, care folosește AI generativ pentru a scrie texte la cerere. Poate traduce acele fișiere Readme scrise în altă limbă, sau chiar să le sumarizeze folosint ajutorul inteligenței artificiale.
Între timp, Windows 11 a fost actualizat pentru a suporta formatul Markdown, care folosește simboluri pentru formatare – de exemplu, adăugarea unui asterisc înainte și după un cuvânt îl face cursiv, iar două asteriscuri îl fac aldin. Markdown acceptă și linkuri pe care se poate da clic, de unde și problema cu aplicația Notepad, deoarece Microsoft a omis să o actualizeze pentru a gestiona corect această capabilitate.
Problema ar fi fost deja rezolvată cu ocazia celei mai recente actualizări cumulative Patch Tuesday, etichetată luna februarie 2026. Potrivit descrierii atașate, Microsoft a remediat o eroare de „neutralizare necorespunzătoare a elementelor speciale utilizate într-o comandă” în Notepad, care ar putea permite unui atacator să ruleze cod rău intenționat într-o rețea. Bug-ul etichetat CVE-2026-20841 a primit un scor de severitate de 8,8/10 (ridicat):
fișier Markdown deschis în Notepad, determinând aplicația să lanseze protocoale neverificate care încarcă și execută fișiere la distanță”, a declarat Microsoft.
„Codul malițios s-ar executa în contextul de securitate al utilizatorului care a deschis fișierul Markdown, oferind atacatorului aceleași permisiuni ca și utilizatorul respectiv.”
Altfel spus, dacă o persoană dă Ctrl+clic pe un link de download malițios inserat într-un fișier Notepad Markdown, acțiunea va fi executată automat, fără nicio avertizare pentru utilizator. Prin urmare, fișierele Notepad ar putea fi utilizate cu ușurință în atacuri de phishing și infectare cu ajutorul mesajelor e-mail.
