Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Dank Microsofts Feature-Wahn: Sogar Notepad bekommt jetzt Schadcode-Lücken

Der Windows -Texteditor Notepad ist längst nicht mehr so schlicht wie früher. Dank Markdown -Support können Angreifer Schadcode einschleusen.
/ Marc Stöckel
18 Kommentare News folgen (öffnet im neuen Fenster)
Mit dem alten Notepad wäre das nicht passiert. (Bild: Notepad / Screenshot)
Mit dem alten Notepad wäre das nicht passiert. Bild: Notepad / Screenshot

Microsoft hat zum Februar-Patchday eine Schadcode-Lücke in Notepad geschlossen. Der Texteditor ist längst nicht mehr so einfach gehalten wie früher. In den letzten Jahren ergänzte Microsoft zahlreiche Features, darunter auch KI-Funktionen . Das wird dem einst sehr einfachen Editor nun offenbar zum Verhängnis und eröffnet das Potenzial für Sicherheitslücken.

Bei der kürzlich gepatchten Lücke handelt es sich um CVE-2026-20841(öffnet im neuen Fenster) . Der Schweregrad ist laut Microsoft hoch (CVSS: 8,8) und die Angriffskomplexität gering. Angreifer können die Lücke ausnutzen, indem sie einem Zielnutzer eine speziell gestaltete Markdown-Datei unterschieben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Wird die Datei mit Notepad geöffnet und ein darin enthaltener Link angeklickt, so startet die Anwendung laut Microsoft "nicht verifizierte Protokolle, die Remote-Dateien laden und ausführen" . Angreifer können auf diesem Wege eigenen Code einschleusen, der mit den Rechten des auf dem Zielsystem angemeldeten Benutzers ausgeführt wird.

Patch fügt nur einen Klick hinzu

Microsoft hatte den Markdown-Support für Notepad erst Mitte 2025 eingeführt . Er ermöglicht eine Textformatierung mittels Markdown-Syntax. Vor diesem Update wäre eine Sicherheitslücke wie CVE-2026-20841 undenkbar gewesen. Notepad galt einst als schlichter und funktionsarmer Texteditor, der dafür aber enorm performant und einfach zu bedienen war.

Ein allzu großes Risiko scheint CVE-2026-20841 allerdings nicht darzustellen. Schließlich müssen Anwender nicht nur eine speziell präparierte Datei öffnen, sondern darin auch noch einen verdächtigen Link anklicken. Wie ein solcher Angriff aussehen kann, wird in einem Bericht von Bleeping Computer(öffnet im neuen Fenster) anhand von Screenshots veranschaulicht.

Microsofts Patch, der per Update über den Microsoft Store verteilt wird, scheint nur einen schwachen Schutz vor der Lücke zu bieten. Denn der direkte Aufruf des Links wird lediglich durch eine zusätzliche Sicherheitsmeldung blockiert. Bestätigt der Nutzer, sich der Risiken bewusst zu sein, so kommt der Code, auf den der Link verweist, weiterhin zur Ausführung. Auch in Notepad ist bei verdächtigen Links also fortan Vorsicht geboten.

Zur Startseite 18 Kommentare

Relevante Themen

SoftwareToolsSecuritySicherheitslückeUpdates & PatchesDatensicherheitPatchdayWindows