概要
Microsoftは、Windows 11のNotepadで発見された「リモートコード実行」脆弱性(CVE-2026-20841)を修正しました。この脆弱性により、攻撃者は特別に作成したMarkdownリンクをクリックすることで、ユーザーが警告なしでローカルまたはリモートのプログラムを実行させることができました。
Notepadの歴史と進化
Windows 1.0と共に導入されたNotepadは、簡単なテキストエディタとして人気がありましたが、Windows 11では機能が強化され、Markdownファイル(.md)を扱えるようになりました。これにより、ユーザーはテキストフォーマットやリンクの挿入ができるようになりました。
脆弱性の詳細
この脆弱性は、特別に作成されたMarkdownリンクをクリックすることで発動します。攻撃者は、ユーザーがこれらのリンクをクリックしたときに、Windowsセキュリティ警告なしでプログラムを実行させることができます。
修正と対策
Microsoftは、この脆弱性の修正をFebruary 2026 Patch Tuesday更新に含めました。現在のバージョンでは、http://またはhttps://プロトコル以外を使用するリンクをクリックしたときに警告ダイアログが表示されるようになっています。
今後の対策
Windows 11はMicrosoft Storeを通じて自動的に更新されるため、この脆弱性の影響は限定的であると予想されます。ただし、ユーザーは依然として注意を払う必要があります。