Блокнот теперь умеет в Markdown, но это привело к серьезной уязвимости 😱

Привет! 👋 Я тут почитал про последние новости в мире Windows, и кое-что очень интересное выяснилось про наш старый добрый Блокнот. Да-да, тот самый, который мы все используем для быстрых заметок и который, казалось бы, вообще не может ничего сломать. Как бы не так!

Короче, Microsoft решила добавить в Блокнот поддержку Markdown. Это такая штука, которая помогает красиво форматировать текст. Ну, вроде заголовков, списков, ссылок и так далее. Казалось бы, круто, теперь можно прям в Блокноте писать стильные заметки. 📝

Но, как это часто бывает с новыми функциями, появилась и обратная сторона. Оказалось, что эта новая фишка с Markdown в Блокноте создала ciddi (серьезную) уязвимость. 🚨 Тип уязвимости — "неправильная нейтрализация специальных элементов в команде", другими словами, это RCE (Remote Code Execution). Звучит страшно, и оно такое и есть.

Что это значит простыми словами? Злоумышленник мог бы заставить ваш Блокнот выполнить какой-нибудь вредоносный код. Если бы вы открыли специально подготовленный Markdown-файл в Блокноте, хакер мог бы через него запустить свои программы на вашем компьютере. 😨 И что самое обидное, этот вредоносный код выполнялся бы с теми же правами, что и сам Блокнот, а значит — с правами пользователя.

Эта фишка с Markdown появилась в Блокноте относительно недавно, типа в 2025 году. И вот, пожалуйста, первая серьезная проблема. Уязвимость получила оценку 8.8 по шкале CVSS, что очень много! 😱 Но есть и позитив: Microsoft заявляет, что пока нет подтверждений, что этой уязвимостью кто-то активно пользовался в реальных атаках.

Хорошие новости: Microsoft уже выпустила патч! 🥳 Это было сделано в рамках февральского обновления безопасности. Так что, если вы обновляете свой Windows, то вы, скорее всего, уже защищены. Уязвимость была активна в версиях Блокнота до 11.2510.

А нужен ли Блокноту Markdown? 🤔

Вообще, это вызывает вопрос: а зачем вообще Блокноту нужны эти навороты? Раньше он был простой и быстрый, идеальный для заметок. А теперь эти новые функции, включая Markdown, не только приносят риски, но и как бы… раздувают приложение.

Недавно мой коллега Бен Уилсон очень точно подметил, что Microsoft как-то слишком увлекается добавлением ИИ и прочих штук в старые приложения. Иногда из-за этого даже возникают проблемы, как с тем, что Блокнот стал требовать постоянное подключение к серверам Microsoft. 🙄

К счастью, Microsoft, кажется, начала прислушиваться к пользователям и немного снижает обороты с этим "вливанием" ИИ. Но всё равно, эта история с уязвимостью в Блокноте — тревожный звоночек. 🔔

Есть много отличных альтернатив Блокноту, которые либо уже умеют в Markdown, либо просто остаются легкими и быстрыми. Например, есть классный open-source вариант на GitHub, про который мы недавно писали.

А вы что думаете? Стоит ли Microsoft вообще трогать такой простой и надежный инструмент, как Блокнот? Или лучше оставить его в покое? 👇 Поделитесь своим мнением в комментариях!

*Евгений (MSReview): Удивительно, как даже самые простые приложения могут стать источником серьезных проблем. Эта история с Блокнотом — отличный пример того, что любая новая функция, даже такая, на первый взгляд, безобидная, как поддержка Markdown, может иметь непредвиденные последствия. Надеюсь, Microsoft сделает выводы и будет более осторожно подходить к обновлениям такого базового софта. А пока — следим за обновлениями и пользуемся проверенными решениями! 👍