Sürgős biztonsági javítást adott ki a Microsoft a Jegyzettömbhöz, a Windows jegyzetelő-szövegszerkesztő programjához, melyben egy óriási biztonsági rés tátongott – írja a Neowin híradása nyomán a hvg.hu.
A szaklap szerint a sebezhetőség lehetővé tette a támadók számára, hogy távolról futtassanak rosszindulatú kódot a célpont számítógépén. Egy RCE, azaz távoli kódfuttatási hibáról van szó, melyet a CVE-2026-20841 kódnév alatt tartanak nyilván.
A probléma gyökere az, hogy az alkalmazás nem tisztítja elégségesen, és nem is blokkolja a veszélyes speciális karaktereket bizonyos parancsokban.
A sérülékenység a Microsoft Áruházból letölthető, modern Jegyzettömböt érinti, főleg a Markdown (.md) fájlok kezelése során. A vállalat tájékoztatása szerint a támadók úgy játszhatják ki a sebezhetőséget, hogy létrehoznak egy ilyen rosszindulatú Markdown-fájlt, amely speciálisan kialakított hivatkozásokat tartalmaz. Ha a felhasználó ezt megnyitja a Jegyzettömbben, elindul egy eseménysor, ami a végén letöltheti és futtathatja a kártékony kódot.
Ha a folyamat sikeresen végigmegy, a támadó teljes ellenőrzést szerezhet az áldozat számítógépe felett.
A probléma súlyossága magas, a 10-es skálán 8,8-as, de a Microsoft egyelőre nem tud arról, hogy kihasználták volna. A Microsoft a Windows 11 februári javítócsomagjával korrigálta a hibát, melyet a Gépház – Windows Update menüpontjából lehet letölteni. Érdemes naprakészen tartani a Jegyzettömb alkalmazást is a Microsoft Áruházban – tanácsolják a szakértők.