Microsoft vá lỗ hổng nghiêm trọng trên Notepad, có thể chiếm quyền điều khiển PC

Microsoft vừa phát hành bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng trong Notepad. Lưu ý, đây không phải lỗi từng được phát hiện trên Notepad++, mà là lỗ hổng trong ứng dụng Notepad mặc định của Windows.

Lỗ hổng này (được theo dõi với mã CVE-2026-20841) là một lỗi thực thi mã từ xa (Remote Code Execution – RCE). Nguyên nhân xuất phát từ việc ứng dụng không xử lý đúng cách các ký tự đặc biệt nguy hiểm trong một số lệnh nhất định.

Đáng chú ý, lỗi ảnh hưởng đến phiên bản Notepad hiện đại được phân phối qua Microsoft Store, đặc biệt khi mở và xử lý các tệp Markdown (.md).

Cách khai thác lỗ hổng ra sao?

Theo tài liệu trong Security Update Guide của Microsoft, kẻ tấn công có thể tạo một tệp Markdown độc hại chứa các liên kết được thiết kế đặc biệt.

Quy trình tấn công có thể diễn ra như sau:

1. Người dùng mở tệp Markdown trong Notepad.
2. Nhấp vào một liên kết bên trong tệp.
3. Một script có thể được kích hoạt, tự động tải xuống và thực thi mã độc trên hệ thống.

Nếu thành công, kẻ tấn công có thể giành quyền kiểm soát hoàn toàn máy tính nạn nhân cùng toàn bộ quyền truy cập liên quan.

Lỗ hổng này có điểm CVSS v3.1 là 8.8, được xếp vào mức độ nghiêm trọng cao (High). Tuy nhiên, Microsoft phân loại mức ảnh hưởng tối đa là Important. Tại thời điểm phát hành bản vá, hãng cho biết chưa ghi nhận trường hợp khai thác công khai nào.

Microsoft đã khắc phục lỗi trong đợt Patch Tuesday tháng 2/2026, phát hành ngày 10/2/2026.

Người dùng được khuyến nghị cập nhật Windows lên phiên bản mới nhất, đồng thời đảm bảo ứng dụng Notepad cũng đã được cập nhật qua Microsoft Store

Việc trì hoãn cập nhật có thể khiến hệ thống đối mặt với nguy cơ bị khai thác nếu xuất hiện mã khai thác ngoài thực tế.

Phát hiện này cũng làm dấy lên tranh luận về việc Microsoft tích hợp khả năng kết nối mạng vào Notepad. Nhiều người cho rằng một trình soạn thảo văn bản đơn giản không cần truy cập internet liên tục.

Tuy nhiên, việc Notepad có kết nối mạng là điều bắt buộc để duy trì tính năng tích hợp Copilot bên trong ứng dụng. Còn việc Copilot có thực sự cần thiết trong Notepad hay không, lại là câu chuyện khác.