Windows 11 Notepad flaw let files execute silently via Markdown links

1 minute de lecture

Mis à jour : February 12, 2026

L’Éditeur Notepad de Windows 11 : Une Faille de Sécurité Corrigée

Une faille critique dans l’application Bloc-notes de Windows 11, permettant l’exécution silencieuse de code à distance, a été corrigée par Microsoft. Cette vulnérabilité exploitait le support du format Markdown, récemment introduit dans l’application.

En manipulant des liens spécifiquement conçus dans des fichiers Markdown, un attaquant pouvait inciter un utilisateur à cliquer, déclenchant ainsi l’exécution de programmes locaux ou distants sans aucune alerte de sécurité Windows. L’exploit tirait parti de protocoles non vérifiés et de liens directs vers des exécutables ou des installateurs d’applications, s’exécutant avec les privilèges de l’utilisateur.

Points Clés :

Exécution de Code à Distance : La faille permettait à des attaquants d’exécuter du code sur la machine de la victime.
Support Markdown Exploité : L’ajout de la prise en charge du format Markdown dans le Bloc-notes de Windows 11 a ouvert la porte à cette vulnérabilité.
Absence d’Alertes : Les programmes s’exécutaient sans déclencher les avertissements de sécurité habituels de Windows.
Impact : Potentiel d’exécution de fichiers malveillants à partir de partages réseau distants.

Vulnérabilité :

CVE : CVE-2026-20841
Description : Neutralisation inappropriée d’éléments spéciaux utilisés dans une commande (“injection de commande”) dans l’application Bloc-notes de Windows, permettant à un attaquant non autorisé d’exécuter du code sur un réseau.

Recommandations :

Mise à Jour Immédiate : Les utilisateurs de Windows 11 doivent s’assurer que leur application Bloc-notes est mise à jour via le Microsoft Store. La correction a été déployée lors des mises à jour de sécurité de février 2026.
Prudence avec les Liens : Bien que corrigée, la vulnérabilité illustre l’importance de la prudence lors du clic sur des liens, même dans des applications de confiance. Les versions corrigées de Bloc-notes afficheront désormais un avertissement pour les liens ne utilisant pas les protocoles http:// ou https://.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Windows 11 Notepad flaw let files execute silently via Markdown links

L’Éditeur Notepad de Windows 11 : Une Faille de Sécurité Corrigée

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)