MicrosoftがNotepadにMarkdownサポートを追加してからわずか数か月後、研究者はこの機能がリモートコード実行(RCE)を実現するために悪用される可能性があることを発見しました。
CVE-2026-20841(8.8)として追跡されているこの脆弱性は、Windowsメーカーの最新のPatch Tuesdayの修正で対処されました。
この欠陥が最高の深刻度スコアを逃しているのは、動作させるために少しのソーシャルエンジニアリングが必要だからですが、そこから先は攻撃者にとって順風満帆です。
「ソーシャルエンジニアリング」と言っても、Scattered Spiderが実践する闇の技術のような超高度なものではありません。単に人々を騙して信頼できないリンクを開かせるだけです。
組織には十分なメール セキュリティ保護が利用可能ですが、フィッシングは依然としてサイバー犯罪者にとって最も効果的な初期アクセスベクターであり、NotepadがほとんどのWindows PCに標準でインストールされているため、CVE-2026-20841はかなり多くのマシンに影響を与える可能性があります。
攻撃者は、疑いを持たないユーザーにNotepadでMarkdownファイルを開かせ、内部に埋め込まれた悪意のあるリンクをクリックさせるだけで済みます。
Microsoftの説明によると、ハッカーはこの脆弱性を悪用して、ユーザーの権限でファイルを読み込んで実行する「未検証のプロトコル」を起動できます。
Windowsの巨人はまた、この欠陥が実際に悪用された既知のケースはないことを確認しました。
Microsoftは2025年5月にWordPad風のアップデートの一環としてNotepadでのMarkdown機能の展開を開始し、その後GAとなりました。
この動きは賛否両論でした。新機能を歓迎する人もいれば、Notepadはそのままにしておくべきだと考える人も多くいました。
批評家たちは、Microsoftが2024年に廃止したWordPadのようにNotepadを変えることは、軽量で高速、装飾のないプログラムとしてのアプリの核となる理念を裏切るものだと主張しました。
そしてAIが登場しました。9月には、Windows Insidersに、Copilot+ PCを実行している場合に限り、AI支援による文章作成、書き換え、要約機能が提供されました。
Markdownサポートを含むこれらすべては、Notepadの設定でオフにできますが、デフォルトで有効になっています。
Microsoftとは関係ありませんが、CVE-2026-20841の開示は、Notepad++チームが重大なセキュリティ問題を確認してからわずか数日後のことです。
今月初め、同チームは、早くも6月に国家支援のサイバー犯罪者がアップデートサービスを侵害し、東アジアに関心を持つ組織への標的型攻撃につながったことを受けて、修正とバージョンアップグレードを発表しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/11/notepad_rce_flaw/
