Microsoft 發布關鍵安全更新,修復Windows 內建應用程式記事本(Notepad)中一個編號為 CVE-2026-20841 的嚴重漏洞。該漏洞屬於遠端程式碼執行(Remote Code Execution, RCE)類型。用戶若不慎中招,黑客可完全接管電腦系統。
惡意 Markdown 連結成攻擊入口
綜合外媒報道,是次漏洞的成因與 Notepad 近年新增的功能有關。Microsoft 於去年 5 月開始為 Notepad 加入 Markdown 格式支援。然而,新功能卻被發現存在嚴重安全隱患。根據分析,攻擊者只需利用社交工程手段,誘使用戶使用 Notepad 開啟一個特製的 Markdown(.md)文件,並點擊文件中嵌入的惡意超連結。一旦用戶點擊該連結,Notepad 便會觸發未經信任的協議處理,從而下載並執行遠端檔案。由於該程序是在用戶的權限下執行,攻擊者將能夠繼承受害者的存取層級,這意味著黑客可以隨意存取本機檔案、網絡共享資源及內部工具。
受影響版本為 Microsoft Store 版
值得注意的是,受影響的組件是透過 Microsoft Store 分發的現代版 Notepad 應用程式,而非許多 IT 團隊所認知的傳統舊版 Notepad.exe。這一點在操作上至關重要,因為如果關閉了 Microsoft Store 的自動更新,或者未有嚴格執行應用程式版本合規,相關裝置可能仍處於險境。
立即更新至最新版本
Microsoft 已在10日的安全更新中釋出修復方案,將 CVE-2026-20841 列為「重要」級別並要求客戶採取行動。目前尚未有證據顯示該漏洞在野外被廣泛利用。受影響的用戶應盡快前往 Microsoft Store,確保 Notepad 已更新至版本 11.2510 或更高版本,以堵塞相關安全漏洞。是次更新是 Microsoft 2 月份修復的 58 個漏洞之一,當中還包括 6 個已遭利用的漏洞及 3 個公開披露的零日漏洞。
即刻【按此】,用 App 睇更多產品開箱影片
【熱門報道】
Source:socprime.com、theregister.com、cwe.mitre.org
【相關話題】WhatsApp爆恐怖漏洞 唔使撳Link都中招
通訊軟件 WhatsApp 爆出重大安全隱患。Google 旗下資安研究團隊 Project Zero 公開一項針對 WhatsApp Android 版本的嚴重漏洞,指黑客可透過特定手法發動零互動式攻擊。團隊指出,由於Meta 未能按慣例在 90 天限期內完成修補,故決定公開漏洞細節,以警惕公眾防範風險。
Source:ezone.hk
【相關話題】iOS 26.2 實測5大更新 全新 AirDrop PIN 碼機制杜絕陌生騷擾
Apple iOS 26.2 中期更新針對用戶體驗進行多項關鍵改良。本次更新引入提醒事項鬧鐘模式、Apple Music 離線歌詞及 AirDrop PIN 驗證,並優化液態玻璃視覺控制與遊戲容量管理,全面提升 iPhone 的操作效率與隱私安全。
Source:ezone.hk