マイクロソフトは、最新のWindows NotepadアプリのCVE-2026-20841として追跡される高深刻度のリモートコード実行(RCE)脆弱性にパッチを当てました。
この脆弱性は2026年2月のパッチチューズデーでリリースされました。Delta OscuraのセキュリティリサーチャーであるCristian PapaとAlasdair Gorniakが最初に発見しました。その後、TrendAI ResearchのNikolai SkliarenkoとYazhi Wangが詳細に分析しました。
問題はNotepadのマークダウン処理でのコマンドインジェクションが原因です。この最新バージョンはMicrosoft Storeから提供されており、Windows内の古い Notepad.exeとは異なります。.mdファイルをインタラクティブなリンク付きでレンダリングします。
攻撃者は悪意あるマークダウンファイルを作成できます。被害者がNotepadで開き、不正なハイパーリンクをCtrl+クリックします。これによりユーザーのアカウント下で任意のコマンドが実行されます。
脆弱な関数sub_140170F60()はリンククリックを処理します。弱いフィルタリングの後、リンクをShellExecuteExW()に送信します。
これは単に先頭または末尾のスラッシュを削除するだけです。file://やms-appinstaller://などのプロトコルを見落とします。これらはWindowsの警告なしに攻撃者ファイルを読み込みます。ShellExecuteExW()はシステムハンドラーを使用するため、カスタムセットアップではリスクが増加します。
Zero Day Initiativeの分析によると、悪用にはユーザーの操作が必要です。攻撃者はメール、ダウンロード、またはフィッシングを通じてファイルを送信します。
被害者はNotepadで開く必要があります。ただし.mdファイルはデフォルトではリンクされておらず、リンクをクリックする必要があります。公開されている概念実証がGitHubに存在し、実際のリスクが高まっています。
この脆弱性はNotepadバージョン11.2508以前に影響します。Microsoft Storeでビルド11.2510以降に更新すると修正されます。レガシーNotepad.exeは安全なままです。回避策はありませんが、マイクロソフトは自動更新を促しています。
組織はエンドポイントを確認する必要があります。Microsoft Store更新をフリート全体で有効化します。ツールを使用してバージョン11.2510+を強制します。古いインストールをスキャンします。
これは日常的なアプリケーションにおけるマークダウンのリスクを強調しています。Notepadのプレビューモードは便利に見えましたが、扉を開いてしまいました。PoCが公開されたので、脅威アクターは迅速に悪用する可能性があります。今すぐ更新して攻撃をブロックしてください。