Remote-Code-Execution-Schwachstelle CVE-2026-20841 in der Windows-Notepad-App

Microslop.

Bitte bietet bei so fundamentalen Dingen wie dem OS und dem Browser einfach nur die Basis an, ohne solchen Cloud-/AI-/Integrations-Müll.

Es würde völlig reichen, wenn Vendor-Features darüber als Layer angeboten würden...

Hacker-News-Kommentare

• Im Aktionärsbericht von 2025 steht Windows bei den Einnahmequellen nur auf Platz 5, sogar hinter LinkedIn
  Inzwischen wirkt es so, als würde sich Microsoft weder um Windows noch um Notepad wirklich kümmern

  • Windows ist für sie so etwas wie ein trojanisches Pferd
  • Im Bericht werden die Umsätze in drei Kategorien aufgeteilt — „Productivity and Business Processes“, „Intelligent Cloud“, „More Personal Computing“ — und Windows ist nur ein Teil der dritten Gruppe. Deshalb frage ich mich, wie man daraus auf Platz 5 kommt
  • Microsoft ist im Grunde bald nur noch Windows. Für Office gibt es viele Alternativen, sie haben keine KI-Modelle, Github ist instabil, Azure ist miserabel, Xbox ist gescheitert. Wenn Windows stirbt, verschwindet alles, was darauf aufbaut, gleich mit

• Der Kern des Problems ist die Link-Verarbeitung
  Laut CVE-2026-20841 kann Notepad ungeprüfte Protokolle ausführen und entfernte Dateien laden, wenn ein Angreifer jemanden dazu bringt, auf einen bösartigen Link in einer Markdown-Datei zu klicken

  • Dass Notepad Links verarbeitet, fühlt sich an, als hätte ein Bleistift eine Tintenlade-Schwachstelle. Der alte Witz „wenn Microsoft Autos bauen würde“ ist damit wohl Realität geworden (passender Link)
  • Ich bin mir nicht sicher, ob das wirklich ein großes Problem ist. Könnte so etwas nicht in jeder App passieren, die anklickbare Links rendert — also etwa in Browsern oder Mail-Clients?
  • Ich frage mich, was mit „unverified protocols“ gemeint ist. Gibt es unter Windows ein URL-Schema wie exe://, mit dem man ausführbare Dateien direkt starten kann?

• Ich habe neulich Windows-98-Notepad herausgesucht und unter Windows 11 gestartet, und es funktioniert perfekt. Texteingabe, Speichern, Laden — alles geht. Was will man mehr? Sogar die Schriftart löst Nostalgie aus

  • Win9x-Notepad kann nur bis 64 KB öffnen und unterstützt nur ANSI-Kodierung. Spätere Versionen brachten nützliche Verbesserungen wie LF-Unterstützung, aber die Zusatzfunktionen von Windows 11 sind nur unnötiger Ballast
  • Ich habe notepad.exe, calc.exe und mspaint.exe aus Windows 7 extrahiert und nutze sie unter Windows 11. Funktioniert einwandfrei
  • Dass im Fenster „About Notepad“ die Windows-11-Version angezeigt wird, liegt daran, dass das Programm über die Windows-API die Systemversion abfragt und anzeigt
  • Tatsächlich ist das alte notepad.exe auch unter Windows 11 noch vorhanden. Es wird beim Start nur zur neuen App umgeleitet. Wenn man in den Einstellungen „App execution aliases“ deaktiviert, kann man das alte Notepad weiterverwenden
  • Ich frage mich, wie man mit dieser Version Notepad Copilot für Copilot 365 benutzen soll

• Vor ein paar Tagen wurde Notepad++ von staatlich unterstützten Angreifern kompromittiert, und heute hat das in Windows eingebaute Notepad eine CVE. Vielleicht ist es Zeit, Windows komplett loszuwerden. Kein Sandboxing, nur ein Berg aus Legacy-Code

  • Technisch gesehen sind Unix-Systeme auch voller Altlasten, aber Windows ist einfach ein Müllberg
  • Beim Notepad++-Vorfall hat eine chinesische Angreifergruppe den Hosting-Anbieter kompromittiert. Die Update-Prüfung wurde verbessert, und es gibt Alternativen wie scoop. Der Angriff war sehr begrenzt, und die IOCs wurden bereits veröffentlicht
  • Der eigentliche Vorfall liegt nicht erst ein paar Tage zurück, sondern einige Monate, und er dauerte mehrere Wochen an
  • Ich nutze gvim unter Windows als Notepad-Ersatz. Auch ohne Plugins reicht das völlig aus
  • Jetzt fehlt nur noch ein Mauszeiger-Icon-RCE. Das wäre dann der wahre Höhepunkt

• Wir sind jetzt beim logischen Endpunkt der Pipeline Funktionsüberladung → Schwachstellen angekommen
  30 Jahre lang war Notepad der Standard für einen simplen Textbetrachter, und dass es jetzt einen CVSS-Wert von 8,8 bekommt, ist ein Zusammenbruch des Prinzips der geringsten Rechte. Man sollte nicht fragen „Können wir diese Funktion hinzufügen?“, sondern „Braucht dieser Texteditor wirklich einen Netzwerk-Rendering-Stack?“

  • Sie haben dort nicht aufgehört, sondern auch noch gefragt, ob es „KI brauchen könnte“, und dabei die falsche Antwort gegeben
  • Natürlich hatte Notepad auch früher schon absurde Bugs wie „Bush hid the facts“. Damals waren Unicode und Kodierungen das schwierige Thema, heute führen wir eben einen anderen Krieg
  • Ich stimme vollkommen zu. Ein Texteditor mit Netzwerk-Stack ist ein Nährboden für Schwachstellen. Deshalb habe ich selbst einen rein lokalen Texteditor in Rust gebaut. Keine Netzwerkberechtigungen, verschlüsselte Speicherung, FIPS-kompatibles OpenSSL. Zu finden unter FIPSPad
  • Dieser Bug scheint aber nichts mit einem Netzwerk-Rendering-Stack oder KI zu tun zu haben. Laut MSRC geht es darum, dass ein Angreifer jemanden dazu bringt, auf einen Link in einer Markdown-Datei zu klicken, der dann eine entfernte Datei ausführt. Zum Beispiel würde ein Link wie \\evil.example\virus.exe beim Anklicken gestartet
  • Das Problem ist eher, dass man sich fragt, ob Microsoft überhaupt bemerkt hat, dass es einen Netzwerk-Rendering-Stack eingebaut hat

• Das Lustige ist: Browser zeigen schon seit Langem eine Benutzerwarnung vor der Ausführung von Protokollen an, aber Microsoft hat in Notepad anklickbare Links eingebaut und diesen Schritt komplett übersprungen. Das ist nicht nur Funktionsüberladung, sondern ein Fall von einem bereits gelösten Problem, das man neu erfindet und dabei die Schutzmechanismen vergisst

• Ich war überrascht zu lesen: „Wenn man in einer Markdown-Datei auf einen bösartigen Link klickt, wird eine entfernte Datei ausgeführt.“ Mir war nicht klar, dass Notepad Markdown rendert

  • Wenn Notepad anfängt, andere Formate zu rendern, verschwindet genau der Grund, warum ich Notepad benutze — nämlich seine Reinheit als Werkzeug zum Entfernen von Formatierung. Der Zauber von Notepad lag immer in dieser Schlichtheit, die das ganze Formatierungschaos von Marketing-Teams ignoriert
  • Das scheint erst kürzlich hinzugefügt worden zu sein. Ich benutze es jeden Tag und habe Markdown-Rendering erst letzte Woche zum ersten Mal gesehen
  • Das erinnert mich an den Spruch: „Die Schläge gehen weiter, bis die Moral steigt“

• Ich vermisse die Zeit, als Notepad einfach nur Text angezeigt hat

  • Deshalb benutze ich Notepad2. Das alte Notepad konnte LF-Zeilenumbrüche nicht richtig anzeigen, Notepad2 hat etwas mehr Funktionen und ist trotzdem leichtgewichtig und sauber
  • Früher zu XP-Zeiten waren Alternativen wie Metapad besser

• Es ist jetzt wohl an der Zeit, Windows selbst aufzugeben

  • Kein Witz: Dieses Jahr ist die Zahl der Leute, die wegen der miserablen Qualität von Windows zu Linux wechseln, stark gestiegen. Bei mir war es letztes Jahr so. Jahrzehntelang war es „na ja, geht schon“, und inzwischen ist es eher „so geht es wirklich nicht mehr“

• Die Aufgabe von Notepad war nur, Text anzuzeigen, und Microsoft hat daraus zusätzliche Angriffsfläche gemacht.
  Das „Jahr des Linux-Desktops“ muss gar nicht erst kommen — wenn Windows so weitermacht, reicht das völlig aus

  • Tatsächlich kommt aber wohl eher die Ära von Mac OS. Wenn sich die Chips der M-Serie bis in den Billigbereich durchsetzen, wechseln am Ende alle dorthin

Seit ich zwangsweise auf Windows 11 aktualisiert wurde, wird der Inhalt von Notepad gelegentlich beschädigt – offenbar bekommt MS es wirklich nicht auf die Reihe.

Bitte hört auf, ständig den Editor zu verändern..

So ein absurder Bug wie „Bush hid the facts“
weckt Erinnerungen.

Da WordPad entfernt wurde und man formatierten Text, der sich nur schwer in ein Textverarbeitungsprogramm einfügen lässt, wohl in Markdown gepackt hat, scheint es zu diesem Vorfall gekommen zu sein. Aus Sicherheitsgründen wäre es vielleicht besser, in den Einstellungen alle AI- und Formatierungsfunktionen zu deaktivieren.