Microsoft vient de colmater une vulnérabilité de haute importance dans le Bloc-notes de Windows. Une faille qui n’aurait probablement pas existé si Microsoft n’avait pas intégré autant de nouvelles fonctionnalités à son éditeur de texte.
Le Patch Tuesday de février de Windows 11 a permis à Microsoft de colmater pas moins de 58 failles de sécurité, dont six failles activement exploitées par des cybercriminels.
Parmi toutes ces failles de sécurité, l’une d’elles, considérée comme grave, touchait plus particulièrement le Bloc-notes de Windows. Cette brèche, identifiée sous la référence CVE-2026-20841, Microsoft la doit principalement à sa course effrénée pour ajouter de nouvelles fonctionnalités dans son éditeur de texte.
Un trou dans la raquette de la gestion des fichiers Markdown
Durant des années, le Bloc-notes de Windows a été un éditeur de texte basique de premier choix pour de nombreux utilisateurs. Malheureusement, depuis plusieurs mois, Microsoft s’est mis en tête de faire évoluer son outil en y intégrant de nouvelles fonctionnalités, mais aussi en le connectant à Internet. Il y a quelques mois, la firme de Redmond introduisait ainsi officiellement la prise en charge de la syntaxe Markdown dans son Bloc-notes. Pire encore, Microsoft autorise le Bloc-notes à accéder à Internet pour pouvoir faire fonctionner Copilot.
Dans le cas présent, c’est la gestion du Markdown qui est au cœur du problème. Car la prise en charge de ce formatage a introduit une vulnérabilité qui aurait pu permettre à un cybercriminel d’exécuter du code arbitraire à distance pour prendre le contrôle de la machine. En ouvrant un fichier Markdown, et en cliquant sur un lien d’apparence anodine, l’utilisateur pourrait « ouvrir la porte » de son PC à un pirate. Pire encore, si l’utilisateur concerné dispose des droits administrateur de la machine, ces privilèges auraient également pu être accordés à l’attaquant.
« Un attaquant pourrait inciter un utilisateur à cliquer sur un lien malveillant dans un fichier Markdown ouvert dans le Bloc-notes, ce qui entraînerait le lancement par l’application de protocoles non vérifiés qui chargent et exécutent des fichiers distants. » détaille Microsoft sur la page consignant les détails de cette vulnérabilité.
Le problème ne serait ainsi pas directement lié à Markdown, mais plutôt à la manière dont le Bloc-notes de Microsoft l’affiche. Quoi qu’il en soit, pour éviter les problèmes, il est fortement recommandé de veiller à bien installer les dernières mises à jour de Windows 11. Il ne faudra par ailleurs par oublier d’installer la dernière version à jour du Bloc-notes depuis le module de mise à jour du Microsoft Store.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Par : Opera
Source :
PC World