מיקרוסופט תיקנה פגיעות ב־Notepad המאפשרת הרצת קוד זדוני ב‑Windows 11

אובדן בטיחות ב־«מחברת» של Windows 11: מיקרוסופט מגיבה במהירות

מיקרוסופט גילתה פגיעות באפליקציית Notepad (מחברת) עבור Windows 11, שמאפשרת למתקפה להפעיל קוד זדוני דרך קישור רגיל בתוך מסמך.

בתגובה החברה שחררה תיקון במסגרת «יום חמישי של עדכונים» – חבילת עדכונים מ־10 בפברואר.

איך פועל הפגיעות
- תרחיש התקפה: המשתמש פותח קובץ Markdown (.md) שמוכן מראש.
- בתוך הקובץ יש קישור היפר‑טקסט שעליו המשתמש לוחץ.
- בעת מעבר, המערכת מפעילה אוטומטית פרוטוקולים רשת לא מאומתים ומורידה קובץ הרצה מהשרת המרוחק ללא אישור המשתמש.

כך מתקפה יכולה להריץ קוד 任意 על מחשב הקורבן.

פרטים טכניים
מַהֵרֶת ערך CVE‑IDCVE-2026-20841 תיקון כלול בחבילת העדכון שפורסמה ב־10 פברואר. מיקרוסופט עדיין אין הוכחות לשימוש ממשי בפגיעות זו בהתקפות סייבר.

הקשר
במאי השנה שעברה, מיקרוסופט תוּכְל את תמיכת Markdown ב‑Notepad. ההחלטה עוררה ביקורת: משתמשים ומומחים ציינו שהאפליקציה הפכה ל־«עודף» עם פונקציונליות מיותרת ואינטגרציית כלים מבוססי AI, מה שממיר אפליקציית עורך טקסט פשוטה לתוכנה מורכבת יותר.

מסקנה:

מיקרוסופט נקטה במהירות כדי להסיר את האיום הפוטנציאלי ב‑Notepad, אך השאלה אם הרחבת יכולות האפליקציה הבסיסית מוצדקת נשארת פתוחה.