Dans le cadre du Patch Tuesday de février, Microsoft a corrigé une vulnérabilité d’exécution de code à distance affectant l’application Notepad (Bloc-notes) sur Windows 11. Référencée CVE-2026-20841, la vulnérabilité n’était pas dans le lot des six failles zero-day pour une exploitation active dans des attaques.
Comment cette faille fonctionnait-elle ?
Pour une exploitation de CVE-2026-20841, un attaquant n’avait qu’à créer un fichier Markdown (.md) contenant un lien utilisant des protocoles non standards, comme file:// pointant vers un exécutable, ou ms-appinstaller://.
Lorsqu’un utilisateur ouvrait ce fichier dans les versions concernées de Notepad (11.2510 et antérieures) et cliquait sur le lien (avec Ctrl+clic), un programme cible s’exécutait immédiatement, sans qu’aucune fenêtre d’avertissement de sécurité de Windows n’apparaisse.
C’est précisément cette exécution sans avertissement que Microsoft considère comme la faille de sécurité.
La faute à l’enrichissement de Notepad ?
Une telle faille est une conséquence directe de la modernisation du Bloc-notes. Suite à l’abandon de WordPad en 2024, Microsoft a enrichi son éditeur de texte historique pour qu’il puisse gérer des formats plus complexes, notamment Markdown.
La vulnérabilité CVE-2026-20841 a été signalée à Microsoft par des chercheurs en sécurité tiers. Un correctif a été rapidement déployé par l’entremise du Microsoft Store qui met à jour l’application automatiquement.
Désormais, un clic sur un lien utilisant un protocole autre que http:// ou https:// déclenche une boîte de dialogue d’avertissement, demandant confirmation à l’utilisateur avant toute action.