Microsoft je uspio napraviti ono što se godinama činilo nemogućim: Notepad, najjednostavniji Windows alat, postao je sigurnosni problem visokog rizika. Novi sigurnosni propust, označen kao CVE-2026-20841, omogućuje napadačima izvršavanje koda na računalu korisnika – i to preko obične tekstualne datoteke.
Riječ je o modernoj verziji Notepada koja se distribuira putem Microsoft Storea i koja je posljednjih godina dobila niz novih funkcija, uključujući Markdown podršku i AI “pomoć”. Upravo su te nadogradnje sada u središtu problema. Ranije ovog mjeseca otkriveno je da Notepadov Markdown handler ne provjerava pravilno linkove unutar .md datoteka, što omogućuje pokretanje naredbi izravno s korisničkim ovlastima.
Scenarij napada je porazno jednostavan. Napadač pošalje žrtvi Markdown datoteku, primjerice pod krinkom bilješki sa sastanka ili tehničke dokumentacije. Korisnik je otvori u Notepadu, klikne link koji izgleda bezazleno i – umjesto da se otvori web-stranica – izvrši se kod. Ako korisnik ima administratorske ovlasti, kompromitiran je cijeli sustav.
Propust je dobio CVSS ocjenu 8.8, što ga svrstava u kategoriju visokog rizika. Pogođene su verzije Notepada od 11.0.0 do 11.2509, a Microsoft je zakrpu objavio 10. veljače 2026. u verziji 11.2510 i novijima. Proof-of-concept exploit već je javno dostupan, što značajno povećava rizik od zloupotrebe.
Problem pogađa praktički većinu korisnika Windowsa 10 i Windowsa 11, jer moderna verzija Notepada dolazi predinstalirana ili se automatski ažurira putem Storea. Programeri su posebno izloženi jer redovito otvaraju razne tekstualne i Markdown datoteke, dok IT administratori sada imaju još jednu zakrpu koju moraju hitno uvrstiti u svoje sigurnosne procedure. Jedini koji nisu pogođeni su korisnici starog, klasičnog Notepad.exe-a iz ranijih verzija Windowsa.
Ono što cijelu priču čini još gorom jest činjenica da je sigurnosna zajednica godinama upozoravala Microsoft na rizike nepotrebnog „moderniziranja“ jednostavnih alata. Svaka nova funkcija povećava napadnu površinu, a u ovom slučaju rezultat je RCE ranjivost u tekst editoru. Alatu čija je osnovna svrha trebala ostati otvaranje i uređivanje čistog teksta.
Microsoft je propust zakrpao, ali odgovornost sada ostaje na korisnicima. Prvi i najvažniji korak je provjeriti verziju Notepada i odmah ga ažurirati putem Microsoft Storea. Nakon toga, preporučljivo je isključiti Markdown preview, AI sugestije i izvršavanje linkova ako te opcije nisu nužne. Također, Markdown datoteke iz nepoznatih izvora treba tretirati s istim oprezom kao i sumnjive privitke u e-mailovima.
CVE-2026-20841 dobar je podsjetnik na staro pravilo informacijske sigurnosti: složenost stvara ranjivosti. Ovo nije bio sofisticirani napad koji zahtijeva duboko znanje sustava, već osnovni propust u validaciji unosa. Upravo onaj tip greške koji bi trebao biti uhvaćen u elementarnom sigurnosnom testiranju.
Ironija je jasna. Notepad je desetljećima radio savršeno dobro bez ikakvih „pametnih“ funkcija. Danas, u pokušaju da i najosnovniji alati postanu AI-ready, dobili smo situaciju u kojoj obična tekstualna datoteka može kompromitirati cijeli sustav.
Ako išta, ovaj incident otvara pitanje treba li svaki komad softvera nužno „evoluirati“. Ponekad je sasvim u redu da alat ostane jednostavan – i siguran.
