Sicherheitslücke in Notepad: Microsoft patcht Command-Injection-Schwachstelle

Microsoft hat eine schwerwiegende Sicherheitslücke im modernisierten Notepad-Editor unter Windows 11 bestätigt und nun behoben. Die Schwachstelle mit der Kennung CVE-2026-20841 ermöglicht laut dem Microsoft Security Response Center (MSRC) die Ausführung von Schadcode aus der Ferne, wenn Nutzer eine speziell präparierte Markdown-Datei öffnen und einen darin enthaltenen manipulierten Link anklicken.

Die Sicherheitslücke erhielt einen CVSS-Score von 8.8, was sie in die Kategorie „hoch“ einordnet. Laut der National Vulnerability Database (NVD) handelt es sich um eine sogenannte Command Injection – eine fehlerhafte Neutralisierung spezieller Elemente in Befehlen. Der Fix wird seit dem 10. Februar 2026 im Rahmen des Patch Tuesday verteilt.

Wie der Angriff funktioniert

Die Sicherheitslücke liegt im Markdown-Handler von Notepad: Wie windowslatest.com berichtet, validiert die Anwendung bestimmte spezielle Elemente in Links innerhalb von Markdown-Dateien nicht korrekt. Klickt ein Nutzer auf einen solchen manipulierten Link, kann Notepad einen nicht verifizierten Protokoll-Handler starten, der wiederum Remote-Inhalte laden und ausführen kann.

Der Schadcode läuft dabei mit den Berechtigungen des angemeldeten Nutzers. Bei Standardnutzern bleibt der potenzielle Schaden begrenzt. Ist der Nutzer jedoch als Administrator angemeldet, können die Auswirkungen erheblich gravierender ausfallen. Ein typisches Angriffsszenario könnte laut windowslatest.com so aussehen: Ein Cyberkrimineller versendet eine Phishingmail mit einer scheinbar harmlosen Markdown-Datei als Anhang. Öffnet das Opfer die Datei in Notepad und klickt auf den enthaltenen Link, wird der Angriff ausgelöst. Die technischen Hürden für Angreifer sind dabei gering: Die Attacke erfordert keine besonderen Vorbedingungen und keine vorherigen Zugriffsrechte auf dem Zielsystem.

Modernisierung schuf neue Angriffsfläche

Die Ironie der Situation: Jahrelang galt Notepad als eine der sichersten Windows-Anwendungen – gerade, weil der Editor praktisch nichts konnte, außer reinen Text anzuzeigen. Links waren nicht klickbar, Formatierungen nicht möglich. Mit Windows 11 änderte Microsoft das grundlegend. Der Konzern stattete Notepad mit Markdown-Rendering, klickbaren Hyperlinks, automatischem Speichern, Tabs und Copilot-Integration aus. CVE-2026-20841 sei ein Beispiel dafür, wie sich dieses Risiko materialisiere, so die Einschätzung bei windowslatest.com. Diese Art von Sicherheitsproblem hätte im ursprünglichen, minimalistischen Notepad schlicht nicht existieren können.

Microsoft betont, dass bisher keine aktive Ausnutzung der Schwachstelle beobachtet wurde. Die Lücke wurde auch nicht vor der Veröffentlichung des Fixes öffentlich bekannt. Dennoch stuft der Konzern das Risiko als erheblich ein, da ein einziger Klick in einer harmlos wirkenden Datei ausreiche, um den Angriff auszulösen – besonders in Unternehmensumgebungen, in denen Markdown-Dokumentationen weit verbreitet sind.

Laut Tenable betrifft die Schwachstelle Notepad-Versionen vor 11.2510. Der Sicherheitsfix wird über das Februar 2026 Patch Tuesday Update für Windows 11 sowie über den Microsoft Store für Inbox-Apps verteilt. Nutzern wird empfohlen, das Update zeitnah zu installieren.