Microsoft’ın Notepad uygulamasına eklediği Markdown desteği, uzaktan kod çalıştırma (RCE) açığına yol açtı. CVE-2026-20841 olarak izlenen ve 8.8 CVSS puanla derecelendirilen güvenlik açığı, Şubat 2026 Patch Tuesday güncellemesiyle giderildi.
Notepad’ta kritik güvenlik açığı tespit edildi
Güvenlik araştırmacıları, Notepad’ın Markdown işleme özelliğinde ciddi bir zafiyet keşfetti. Açığın istismar edilmesi için saldırganın hedef kullanıcıyı bir Markdown dosyasını Notepad’ta açmaya ve dosyadaki kötü amaçlı bağlantıya tıklamaya ikna etmesi yeterli.
Microsoft’ın açıklamasına göre saldırgan, bu açığı kullanarak “doğrulanmamış protokolleri” başlatabilir ve kullanıcının yetkileriyle dosya yükleyip çalıştırabilir. Şirket, açığın henüz doğada istismar edildiğine dair bir kanıt bulunmadığını da doğruladı.
Notepad nasıl bu noktaya geldi?
Microsoft, Notepad’a Markdown desteğini Mayıs 2025’te eklemeye başlamıştı. Bu hamle, şirketin 2024 yılında emekliye ayırdığı WordPad’ın bazı işlevlerini Notepad’a taşıma stratejisinin parçasıydı. Ancak karar tartışmalıydı: Bir kesim yenilikleri memnuniyetle karşılarken, diğerleri Notepad’ın hafif, hızlı ve süsüz doğasına ihanet edildiğini savundu.
Ardından Eylül 2025’te Copilot+ bilgisayarlara özel yapay zekâ destekli yazma ve özetleme özellikleri geldi. Tüm bu eklentiler —Markdown desteği dâhil— Notepad ayarlarından kapatılabiliyor, ancak varsayılan olarak açık geliyor.
Kimeliği basit ama etkili
Açığın en endişe verici yönü, istismarının sıradan bir oltalama (phishing) saldırısı kadar kolay olması. Notepad’ın neredeyse tüm Windows bilgisayarlarda varsayılan olarak yüklü gelmesi, potansiyel etki alanını oldukça genişletiyor. E-posta güvenlik çözümleri yaygın olsa da, oltalama halen siber suçlular için en etkili ilk erişim yöntemi olmaya devam ediyor.
Bu gelişme, Notepad++ ekibinin de geçtiğimiz günlerde devlet destekli saldırganların güncelleme servisini ele geçirdiğini açıklamasının hemen ardından geldi. Söz konusu saldırı, Doğu Asya’daki kuruluşları hedef almıştı.
Kullanıcıların en kısa sürede Windows güncellemelerini yüklemeleri ve bilinmeyen kaynaklardan gelen Markdown dosyalarını açarken dikkatli olmaları öneriliyor. Notepad ayarlarından Markdown desteği devre dışı bırakılabilir.
