Microsoft ออกแพตช์อุดช่องโหว่ร้ายแรงใน Notepad บน Windows 11 หลังพบปัญหาด้านความปลอดภัยรหัส CVE-2026-20841 ซึ่งถูกจัดเป็นช่องโหว่ประเภท Remote Code Execution (RCE) และมีคะแนนความรุนแรงสูงถึง 8.8 ตามมาตรฐาน CVSS ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนเครื่องเหยื่อจากระยะไกลได้ หากผู้ใช้เปิดไฟล์ที่ถูกออกแบบมาเพื่อโจมตีและคลิกลิงก์ภายในไฟล์ดังกล่าว

สาเหตุของปัญหาเกิดจากฟีเจอร์แสดงผล Markdown ใน Notepad เวอร์ชันใหม่จาก Microsoft Store ซึ่งรองรับลิงก์แบบคลิกได้ แต่มีข้อบกพร่องในการตรวจสอบ URI Scheme ทำให้ผู้ไม่หวังดีสามารถฝังลิงก์พิเศษ เช่น file:// หรือโปรโตคอลอื่น ๆ ลงในไฟล์ .md ได้

เมื่อผู้ใช้เปิดไฟล์และคลิกลิงก์ที่ถูกสร้างขึ้นเป็นพิเศษ ระบบอาจรันคำสั่งทันทีโดยที่ผู้ใช้ไม่รู้ตัว และไม่มีหน้าต่างแจ้งเตือนความปลอดภัยปรากฏ ส่งผลให้สามารถดาวน์โหลดมัลแวร์หรือเข้าควบคุมเครื่องได้ ทั้งนี้กระบวนการทั้งหมดสามารถทำงานได้แม้ใช้สิทธิ์ระดับผู้ใช้ทั่วไป (User) แต่หากบัญชีที่ใช้งานมีสิทธิ์ระดับผู้ดูแลระบบ (Admin) ความเสียหายก็อาจรุนแรงมากยิ่งขึ้น

ช่องโหว่นี้กระทบ Notepad เวอร์ชันก่อน 11.2510 โดยเฉพาะเวอร์ชันที่ติดตั้งผ่าน Microsoft Store แม้ยังไม่มีรายงานการถูกนำไปใช้โจมตีในวงกว้าง แต่ลักษณะของช่องโหว่แบบ RCE ถือเป็นความเสี่ยงสูงที่ไม่ควรมองข้าม

Microsoft ได้ปล่อยอัปเดตแก้ไขช่องโหว่นี้แล้ว ผู้ใช้สามารถเข้า Microsoft Store ไปที่เมนู Download จากนั้นกด Get Updates เพื่ออัปเดต Notepad ให้เป็นเวอร์ชันล่าสุด พร้อมติดตั้ง Windows Update ให้ครบถ้วน นอกจากนี้ควรหลีกเลี่ยงการเปิดไฟล์ .md จากแหล่งที่ไม่น่าเชื่อถือ และไม่คลิกลิงก์แปลก ๆ ภายในไฟล์ข้อความ เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นโดยไม่รู้ตัว

ที่มา : bleepingcomputer