Компания Microsoft представила очередное обновление в рамках традиционного Patch Tuesday. На этот раз пакет оказался внушительным: 59 исправлений для Windows, Microsoft Office, Azure и ключевых компонентов системы.
Среди них — шесть уязвимостей, которые уже активно использовались злоумышленниками, а также три публично раскрытых zero-day — так называемых «уязвимостей нулевого дня», о которых стало известно до выхода патча. Иными словами, речь идет не о теоретических проблемах, а о вполне реальных рисках для пользователей.
Какие уязвимости были устранены
Согласно официальным данным, обновление закрывает:
- 25 уязвимостей повышения привилегий (elevation of privilege);
- 12 уязвимостей удалённого выполнения кода (remote code execution, RCE);
- 3 уязвимости отказа в обслуживании (DoS);
- 5 способов обхода механизмов безопасности;
- 6 уязвимостей раскрытия информации;
- 7 уязвимостей подмены (spoofing).
Шесть проблем получили статус Critical, остальные были отмечены как Severe или «Important». Для корпоративной среды и домашних пользователей это сигнал один: откладывать обновление не стоит.
Как блокнот стал дырой в безопасности
Наибольшее внимание привлекла уязвимость в… обычном Блокноте (Notepad). Казалось бы, что может быть проще текстового редактора? Однако современная версия приложения уже успела обзавестись элементами искусственного интеллекта и поддержкой Markdown — и именно это сыграло роль.
Уязвимость с идентификатором CVE-2026-20841 относится к классу RCE — удалённого выполнения кода. Она возникла из-за некорректной нейтрализации специальных элементов в командах. Проще говоря, программа могла неправильно обработать определённую строку, что позволяло злоумышленнику внедрить и запустить посторонний код.
Сценарий атаки выглядел достаточно изящно. Пользователю нужно было открыть Markdown-файл в Notepad и перейти по встроенной вредоносной ссылке. В результате Блокнот запускал непроверенные сетевые протоколы и мог загрузить удалённый файл с вредоносным содержимым.
Если атака проходила успешно, злоумышленник получал те же права в системе, что и сам пользователь. Это уже серьёзно: при работе под учётной записью администратора последствия могли быть весьма неприятными.
Microsoft отметила, что уязвимость не эксплуатировалась активно и не была публично раскрыта до выхода исправления. Тем не менее компания настоятельно рекомендует как можно быстрее установить обновление.
Нужен ли ИИ в Блокноте?
История с zero-day вновь подняла вопрос, который всё чаще обсуждают пользователи и эксперты по кибербезопасности: действительно ли каждому встроенному приложению Windows необходим искусственный интеллект?
В последние месяцы Microsoft активно внедряет ИИ-функции в стандартные программы — Paint, Photos, Snipping Tool и другие. Например, инструменты генеративного удаления объектов и «умного» редактирования в приложении «Фотографии» были встречены достаточно тепло.
Но в случае с Блокнотом многие считают иначе. Пользователи жалуются, что добавленные возможности утяжеляют приложение, замедляют его работу и превращают минималистичный редактор в перегруженный комбайн. Возникает закономерный вопрос: зачем текстовому редактору сетевые функции и интеграция с ИИ, если его главная задача — быстро открывать и редактировать текст?
Почему это важно
Каждый новый модуль, особенно связанный с сетью и обработкой сложных форматов, расширяет потенциальную поверхность атаки. Чем больше функций — тем больше кода, а значит, и выше вероятность ошибок.
Инцидент с Notepad показывает, что даже самые простые на первый взгляд программы могут стать точкой входа для атак, если их функциональность существенно усложняется. Это не означает, что развитие нужно остановить, но баланс между удобством, инновациями и безопасностью становится всё более критичным.
В конечном счёте, своевременная установка обновлений остаётся самым простым и эффективным способом защиты. А вопрос о том, каким должен быть идеальный Блокнот — минималистичным инструментом или «умным» помощником, — похоже, ещё долго будет предметом споров.
