Microsoft telah menambal kerentanan tingkat tinggi di Notepad Windows 11 yang memungkinkan penyerang mengeksekusi program lokal atau jarak jauh secara diam-diam ketika pengguna mengklik tautan Markdown yang dibuat khusus, semuanya tanpa memicu peringatan keamanan Windows apa pun. Cacat tersebut, dilacak sebagai CVE-2026-20841 dan diperbaiki pada pembaruan Patch Tuesday Februari 2026, berasal dari dukungan Markdown Notepad yang relatif baru — sebuah fitur yang ditambahkan Microsoft setelah menghentikan WordPad dan menulis ulang Notepad untuk berfungsi sebagai editor teks biasa dan teks kaya. Penyerang hanya perlu membuat file Markdown yang berisi tautan file:// yang menunjuk ke executable atau URI khusus seperti ms-appinstaller://, dan Ctrl+klik dalam mode Markdown akan meluncurkannya. Perbaikan Microsoft sekarang menampilkan dialog peringatan untuk tautan apa pun yang tidak menggunakan http:// atau https://, meskipun perusahaan tidak menjelaskan mengapa mereka memilih prompt daripada memblokir seluruh tautan non-standar. Notepad diperbarui secara otomatis melalui Microsoft Store.
Baca lebih lanjut cerita ini di Slashdot.
