Notepad com vulnerabilidade grave à conta de funcionalidade que ninguém pediu

O Notepad da Microsoft tem uma vulnerabilidade grave à conta do suporte para Markdown que recebeu recentemente.

Depois de anos a transformar o Notepad de um editor básico (como seria suposto ser) em algo que se vai aproximando cada vez mais de processador de texto completo, a Microsoft tem agora um problema de segurança para resolver. A empresa revelou uma vulnerabilidade crítica de execução remota de código, identificada como CVE-2026-20841.

A falha está relacionada com o suporte Markdown recentemente adicionado ao Notepad. Se um utilizador abrir um ficheiro Markdown malicioso e clicar num link incorporado, a aplicação poderá carregar e executar conteúdo remoto. Isso pode permitir que um atacante execute código no computador da vítima - potencialmente com privilégios de administrador, caso o utilizador os tenha. O problema não está no Markdown em si, mas na forma como o Notepad interpreta esse conteúdo.

O ataque exige interacção do utilizador (clicar no link) e o computador tem que estar ligado à rede, sendo que de momento não há indícios de campanhas que tentem explor esta falha; mas o método é suficientemente simples para se tornar numa ameça em sistemas que não sejam actualizados.

Até que a Microsoft disponibilize uma correção, a recomendação é a de evitar descarregar ficheiros de origem duvidosa e nunca clicar em links desconhecidos dentro de documentos de texto. Aliás, bastaria que a MS mantivesse o Notepad como editor de texto básico, e este tipo de problema nem chegaria a existir.