Vulnerabilidade de execução remota de código CVE-2026-20841 no aplicativo Bloco de Notas do Windows

(cve.org)

4 pontos por GN⁺ 2026-02-12 | 7 comentários | Compartilhar no WhatsApp

Foi descoberta uma vulnerabilidade de injeção de comandos (command injection) no aplicativo Bloco de Notas do Windows, e foi relatado que ela pode permitir execução remota de código
Um atacante não autenticado pode executar comandos maliciosos pela rede, em uma estrutura que exige interação do usuário
A vulnerabilidade afeta o Windows Notepad das versões 11.0.0 até anteriores à 11.2510
Foi avaliada com pontuação 8.8 (Alta) no CVSS 3.1, com alto impacto sobre confidencialidade, integridade e disponibilidade
A Microsoft a registrou como CVE-2026-20841, e o patch de segurança e o comunicado estão disponíveis por meio do MSRC (Microsoft Security Response Center)

Visão geral da CVE-2026-20841

Esta vulnerabilidade é classificada como uma vulnerabilidade de injeção de comandos (CWE-77) no Windows Notepad App
- Comandos podem ser manipulados devido à neutralização inadequada de caracteres especiais
- Um invasor pode realizar execução remota de código pela rede
A CNA (autoridade oficial de registro) é a Microsoft Corporation, e a CVE foi divulgada em 10 de fevereiro de 2026 e atualizada em 11 de fevereiro

Detalhes técnicos

Tipo de vulnerabilidade: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
Escopo afetado: Windows Notepad versões 11.0.0 ou superiores e inferiores à 11.2510
Avaliação CVSS 3.1:
- Pontuação: 8.8 (High)
- Vetor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Acesso pela rede, baixa complexidade, requer interação do usuário

Impacto e nível de risco

Um invasor pode obter execução remota de código sem autenticação
Confidencialidade (C), integridade (I) e disponibilidade (A) do sistema são todas afetadas em alto nível
O status básico da vulnerabilidade está marcado como “affected”, e as versões impactadas estão explicitadas

Materiais de referência e resposta

O comunicado oficial de segurança da Microsoft está disponível no MSRC Update Guide
O programa CVE inclui informações adicionais sobre a vulnerabilidade, e a CISA-ADP é indicada como publicadora de dados aprovada
Entre as referências externas relacionadas está um post no Hacker News (https://news.ycombinator.com/item?id=46971516)

Resumo

A CVE-2026-20841 é uma vulnerabilidade de execução remota de código no aplicativo Bloco de Notas do Windows, um problema de segurança com alta gravidade (8.8 pontos)
A Microsoft já fez o registro oficial e está conduzindo a correção, e os usuários devem atualizar para a versão mais recente
Esta vulnerabilidade implica possibilidade de ataque por injeção de comandos e pode expor sistemas a ataques baseados em rede

7 comentários

jwh926 2026-02-12

microslop.

mammal 2026-02-12

Por favor, seria ótimo se partes fundamentais como o SO e o navegador oferecessem só o básico, sem esse lixo de nuvem / IA / integração.

Os recursos do fornecedor já seriam mais do que suficientes se fossem oferecidos como uma camada por cima...

GN⁺ 2026-02-12

Comentários do Hacker News

No relatório anual de 2025, o Windows aparece em 5º lugar entre as fontes de receita, abaixo até do LinkedIn
Agora parece que a Microsoft não liga mais para o Windows nem para o Notepad
- O Windows é como um cavalo de Troia para eles
- No relatório, a receita é dividida em três categorias — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — e o Windows é apenas parte do terceiro grupo. Então fico curioso sobre como concluíram que ele está em 5º lugar
- A Microsoft em breve será o próprio Windows. O Office tem muitos substitutos, eles não têm modelos de IA, o Github é instável, o Azure é ruim, o Xbox fracassou. Se o Windows morrer, tudo o que está em cima dele vai desaparecer junto
O ponto central do problema é o tratamento de links
Segundo o CVE-2026-20841, se um atacante induzir alguém a clicar em um link malicioso dentro de um arquivo Markdown, o Notepad pode executar um protocolo não verificado e carregar um arquivo remoto
- O Notepad lidar com links dá a sensação de um lápis com vulnerabilidade de carregamento de tinta. É como se a velha piada de “se a Microsoft fabricasse carros” tivesse virado realidade (link relacionado)
- Não sei se isso é realmente um grande problema. Não seria algo que pode acontecer em qualquer app que renderiza links clicáveis — navegador, cliente de e-mail e afins?
- Fico curioso sobre o que seriam “unverified protocols”. O Windows tem algum esquema de URL tipo exe:// que chama um executável diretamente?
Outro dia fui atrás do Notepad do Windows 98 e tentei rodá-lo no Windows 11; funcionou perfeitamente. Dá para digitar texto, salvar e abrir arquivos. O que mais alguém poderia querer? Além disso, a fonte dá uma baita nostalgia
- O Notepad do Win9x só abre até 64 KB e só suporta codificação ANSI. Versões posteriores tiveram melhorias úteis, como suporte a LF, mas todos os recursos extras do Windows 11 são apenas peso desnecessário
- Eu extraí o notepad.exe, calc.exe e mspaint.exe do Windows 7 e uso no Windows 11. Funcionam perfeitamente
- O motivo de a janela “About Notepad” mostrar a versão do Windows 11 é que o programa chama a API do Windows para exibir a versão do sistema
- Na verdade, o antigo notepad.exe ainda existe no Windows 11. Só que, ao executar, ele é redirecionado para o novo app. Se você desativar “App execution aliases” nas configurações, dá para usar o Notepad antigo normalmente
- Fico curioso sobre como usar o Notepad Copilot para o Copilot 365 nessa versão
Há poucos dias o Notepad++ foi comprometido por um ator estatal, e hoje saiu um CVE do Notepad embutido no Windows. Dá vontade de apagar o Windows de vez. Não há sandboxing e é uma montanha de código legado
- Tecnicamente, o mundo Unix também é cheio de legado, mas o Windows é simplesmente uma pilha de lixo
- O caso do Notepad++ foi de um grupo chinês que comprometeu o provedor de hospedagem. A verificação de atualização também melhorou, e há alternativas como scoop. O ataque foi muito limitado e os IOCs já foram publicados
- A invasão real não aconteceu há poucos dias, mas há alguns meses, e durou várias semanas
- Eu uso o gvim para Windows no lugar do Notepad. Mesmo sem plugins já é suficiente
- Agora só falta um RCE no ícone do mouse. Aí sim será o ápice
Chegamos ao desfecho lógico do pipeline excesso de recursos → vulnerabilidade
Por 30 anos, o Notepad foi o padrão de um visualizador de texto simples, e agora receber uma pontuação CVSS 8.8 é o colapso do princípio do menor privilégio. A pergunta não deveria ser “será que dá para adicionar esse recurso?”, mas “este editor de texto precisa de uma stack de renderização de rede?”
- E não pararam aí; também perguntaram “precisa de IA?”, e deram a resposta errada
- Claro, antes também havia bugs absurdos no Notepad, como “Bush hid the facts”. Na época, Unicode e codificação eram problemas difíceis; agora só estamos travando outra guerra
- Concordo totalmente. Um editor de texto com stack de rede é um foco de vulnerabilidades. Por isso eu mesmo fiz um editor de texto só local em Rust. Sem permissão de rede, armazenamento criptografado, OpenSSL compatível com FIPS. Dá para ver em FIPSPad
- Mas este bug em particular não parece ter relação com stack de renderização de rede nem com IA. Segundo a MSRC, o problema é induzir o atacante a clicar em um link dentro de um arquivo Markdown para executar um arquivo remoto. Por exemplo, clicar em um link como \\evil.example\virus.exe
- A questão é que fica a dúvida se a Microsoft sequer percebeu que adicionou uma stack de renderização de rede
O engraçado é que os navegadores já introduziram avisos ao usuário antes de executar protocolos há muito tempo, mas a Microsoft pulou completamente isso ao adicionar links clicáveis ao Notepad. Não é só um problema de excesso de recursos; é reinventar um problema já resolvido e esquecer as proteções
Fiquei surpreso ao ler “se clicar em um link malicioso dentro de um arquivo Markdown, um arquivo remoto é executado”. Eu não sabia que o Notepad renderizava Markdown
- Se o Notepad começar a renderizar outros formatos, desaparece o motivo de eu usá-lo — sua pureza como ferramenta para remover formatação. A magia do Notepad estava naquela simplicidade de ignorar a formatação da equipe de marketing
- Acho que isso foi adicionado recentemente. Eu uso todos os dias e só vi a renderização de Markdown pela primeira vez na semana passada
- Isso me lembra a frase “a dor continuará até o moral melhorar”
Sinto falta da época em que o Notepad era apenas uma ferramenta para mostrar texto
- Por isso eu uso o Notepad2. O Notepad antigo não mostrava corretamente quebras de linha LF, mas o Notepad2 tem um pouco mais de recursos e ainda assim continua leve e limpo
- Nos tempos do XP, alternativas como Metapad eram melhores
Agora é hora de abandonar o próprio Windows
- Não é brincadeira: neste ano houve um aumento enorme de pessoas migrando para Linux porque “o Windows está ruim demais”. Eu fiz isso no ano passado. Depois de décadas pensando “dá para aguentar”, agora virou “isso aqui simplesmente não dá mais”
A função do Notepad era só mostrar texto, mas a Microsoft adicionou uma superfície de ataque.
Nem precisa chegar “o ano do desktop Linux” — se o Windows continuar assim, isso por si só já basta
- Mas, na prática, parece que virá a era do Mac OS. Quando os chips da série M chegarem até os modelos de entrada, todo mundo vai migrar para lá

savvykang 2026-02-12

Depois de me forçarem a atualizar para o Windows 11, o conteúdo do Bloco de Notas às vezes fica corrompido; pelo visto a MS realmente não toma jeito.

sudosudo 2026-02-12

Parem de mexer tanto no Bloco de Notas..

kayws426 2026-02-12

Um bug absurdo como “Bush hid the facts”
que nostalgia.

ssolarsystem 2026-02-12

Parece que, com a remoção do WordPad, passaram a usar Markdown para textos formatados que ficam em um meio-termo para colocar em um processador de texto, e aí acabou acontecendo esse incidente. Acho que, por segurança, talvez seja melhor ir nas configurações e desativar tanto a IA quanto todos os recursos de formatação.