Een kwetsbaarheid in Windows Notepad maakt remote code execution (RCE) mogelijk, zo waarschuwt Microsoft. Het techbedrijf kwam gisterenavond met beveiligingsupdates. Het probleem doet zich volgens Microsoft voor wanneer gebruikers van Notepad op een kwaadaardige link in een Markdown-bestand klikken. Dit zorgt ervoor dat Notepad ongeverifieerde protocollen start die remote bestanden laden en op het systeem uitvoeren.

De impact van de kwetsbaarheid (CVE-2026-20841) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Microsoft bedankt in het beveiligingsbulletin drie verschillende beveiligingsonderzoekers voor het rapporteren van de kwetsbaarheid. Op internet wordt zeer kritisch op de aanwezigheid van het probleem gereageerd. "Ik dacht niet dat het mogelijk was, maar Microsoft heeft het voor elkaar gekregen om een remote code execution kwetsbaarheid in Notepad te krijgen", reageert iemand op X. "Ze hebben een RCE in Notepad gevonden... Een app die letterlijk alleen tekst weergeeft", stelt een ander. "Meer features = meer complexiteit = meer aanvalsoppervlak", voegt weer een andere gebruiker toe.

Ook op Hacker News reageren gebruikers kritisich. "Bijna dertig jaar lang was notepad.exe de gouden standaard voor een "domme" tool, een eenvoudige win32-ondersteunde buffer voor strings die precies één ding deed... tekst weergeven. Een CVSS van 8.8 voor een tool die bedoeld is om data te bekijken is een fundamenteel falen van het principe van de minste privileges. Op een gegeven moment moeten ze stoppen met de vraag "kunnen we deze feature toevoegen?" en de vraag stellen "heeft deze teksteditor een netwerk-bewuste rendering stack nodig?"."