Microsoft ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรงใน Notepad โดยช่องโหว่นี้ (ไม่เกี่ยวข้องกับกรณีของ Notepad++) อาจเปิดโอกาสให้ผู้ไม่หวังดีรันโค้ดอันตรายบนเครื่องของเหยื่อจากระยะไกลได้
บั๊กดังกล่าวถูกติดตามในรหัส CVE-2026-20841 จัดเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ในแอป Windows Notepad สาเหตุเกิดจากแอปไม่สามารถจัดการหรือกรองอักขระพิเศษที่เป็นอันตรายในบางคำสั่งได้อย่างเหมาะสม โดยช่องโหว่นี้ส่งผลกระทบกับ Notepad เวอร์ชันใหม่ที่แจกจ่ายผ่าน Microsoft Store โดยเฉพาะเมื่อใช้งานกับไฟล์ Markdown (.md)
ตามข้อมูลจาก Microsoft Security Update Guide ผู้โจมตีสามารถสร้างไฟล์ Markdown ที่ฝังลิงก์ที่ถูกออกแบบมาเป็นพิเศษเพื่อโจมตี หากผู้ใช้เปิดไฟล์ดังกล่าวใน Notepad และคลิกลิงก์ภายในไฟล์ สคริปต์อาจถูกเรียกใช้งานเพื่อดาวน์โหลดและรันโค้ดอันตราย หากการโจมตีสำเร็จ ผู้โจมตีอาจสามารถเข้าควบคุมเครื่องของเหยื่อได้ทั้งหมด รวมถึงสิทธิ์การเข้าถึงต่าง ๆ ในระบบ
ช่องโหว่นี้ได้รับคะแนนความรุนแรง CVSS v3.1 ที่ 8.8 (ระดับสูง) ขณะที่ระดับความรุนแรงสูงสุดตามการจัดอันดับของ Microsoft อยู่ที่ระดับ Important ทั้งนี้ ณ เวลาที่ปล่อยแพตช์ ยังไม่มีรายงานว่ามีการนำช่องโหว่นี้ไปใช้โจมตีในวงกว้าง
Microsoft ได้แก้ไขปัญหานี้ในชุดอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนกุมภาพันธ์ 2026 ซึ่งเผยแพร่เมื่อวันที่ 10 กุมภาพันธ์ 2026 โดยแนะนำให้ผู้ใช้ติดตั้ง Windows Update ล่าสุด และอัปเดตแอป Notepad ให้เป็นเวอร์ชันปัจจุบัน
การค้นพบช่องโหว่นี้ยังทำให้เกิดเสียงวิจารณ์จากผู้ใช้บางส่วนเกี่ยวกับการที่ Microsoft เพิ่มความสามารถเชื่อมต่อเครือข่ายให้กับ Notepad หลายคนมองว่าโปรแกรมแก้ไขข้อความพื้นฐานไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตตลอดเวลา อย่างไรก็ตาม การเข้าถึงอินเทอร์เน็ตถือเป็นสิ่งจำเป็นสำหรับการทำงานของฟีเจอร์ Copilot ที่ถูกรวมเข้ามาใน Notepad ส่วนคำถามว่า Copilot จำเป็นสำหรับ Notepad หรือไม่นั้น ก็ยังเป็นประเด็นถกเถียงกันต่อไป
ที่มา: Neowin
