Windowsメモ帳アプリのリモートコード実行脆弱性 CVE-2026-20841

microslop.

お願いですから、OSやブラウザのような根本的な部分は、クラウド / AI / 連携といったゴミのようなもの抜きで、基本機能だけを提供してほしいです。

ベンダー機能はその上にレイヤーとして提供するだけでも十分でしょうに…

Hacker Newsの反応

• 2025年の年次報告書を見ると、Windowsは収益源ランキングで5位で、LinkedInよりも下にある
  もうMicrosoftはWindowsやNotepadに気を配っていないように見える

  • Windowsは彼らのトロイの木馬のような存在だ
  • 報告書では収益が「Productivity and Business Processes」「Intelligent Cloud」「More Personal Computing」の3カテゴリに分かれている。Windowsは3番目のグループの一部にすぎない。なのにどうやって5位だと判断したのか気になる
  • MicrosoftはまもなくWindowsそのものだ。Officeには代替が多く、AIモデルもなく、Githubは不安定で、Azureはひどく、Xboxは終わった。Windowsが死ねば、その上に載っているものもすべて一緒に消えるだろう

• 問題の核心はリンク処理だ
  CVE-2026-20841によると、攻撃者がMarkdownファイル内の悪意あるリンクをクリックさせると、Notepadが未検証のプロトコルを実行してリモートファイルを読み込めてしまう

  • Notepadがリンクを処理するなんて、まるで鉛筆にインクローディング脆弱性があるようなものだ。昔の「Microsoftが車を作ったら」というジョークが現実になった感じだ（関連リンク）
  • これが本当に大問題なのかよく分からない。クリック可能なリンクをレンダリングするすべてのアプリ、たとえばブラウザやメールクライアントなどでも起こりうる問題ではないか
  • 「unverified protocols」とは何なのか気になる。Windowsにはexe://のようなURLスキームがあって、実行ファイルを直接呼び出せるのだろうか？

• 以前Windows 98のNotepadを探し出してWindows 11で動かしてみたが、完璧に動作した。テキスト入力、保存、読み込みも全部できる。それ以上何を望むというのか。しかもフォントもノスタルジーを誘う

  • Win9xのNotepadは64KBまでしか開けず、ANSIエンコーディングしかサポートしない。その後のバージョンでLF対応など有用な改善はあったが、Windows 11の追加機能はすべて不要な負荷だ
  • 私はWindows 7からnotepad.exe、calc.exe、mspaint.exeを抜き出してWindows 11で使っている。完璧に動く
  • 「About Notepad」ウィンドウにWindows 11のバージョンが表示されるのは、プログラムがWindows APIを呼び出してシステムバージョンを表示しているからだ
  • 実はWindows 11にも古いnotepad.exeは今も残っている。ただし実行時に新しいアプリへリダイレクトされるだけだ。設定の「App execution aliases」をオフにすれば、昔のNotepadをそのまま使える
  • そのバージョンでCopilot 365向けNotepad Copilotをどう使うのか気になる

• 数日前にはNotepad++が国家級攻撃者に侵害され、今日はWindows内蔵NotepadにCVEが出た。もうWindowsを完全に消すべきなのかもしれない。サンドボックスもなく、レガシーコードの山だ

  • 技術的に見ればUnix系もレガシーの塊だが、Windowsはただのゴミの山だ
  • Notepad++の件は、中国系攻撃グループがホスティング事業者を侵害したものだ。更新の検証も改善され、scoopのような代替手段もある。攻撃は非常に限定的で、IOCもすでに公開されている
  • 実際の侵害は数日前ではなく数か月前に起きており、数週間続いていた
  • 私はWindows用のgvimをNotepadの代わりに使っている。プラグインなしでも十分だ
  • もう残っているのはマウスアイコンRCEだけだ。そのときが本当の頂点になりそうだ

• 私たちは今、機能過剰 → 脆弱性というパイプラインの論理的帰結にたどり着いた
  30年間、Notepadは単純なテキストビューアの標準だったのに、今やCVSS 8.8を付けられるのは最小権限の原則の崩壊だ。「この機能を追加できるか？」ではなく、「このテキストエディタにネットワークレンダリングスタックは必要か？」と問うべきだ

  • そこで止まらず、「AIが必要か？」とまで問って、間違った答えを出した
  • もちろん昔のNotepadにも「Bush hid the facts」のような奇妙なバグはあった。当時はUnicodeやエンコーディングが難しい問題で、今は別の戦争をしているだけだ
  • 私も完全に同意する。ネットワークスタックを持つテキストエディタは脆弱性の温床だ。だから私はRustでローカル専用テキストエディタを自作した。ネットワーク権限なし、暗号化保存、FIPS互換のOpenSSLを使用している。FIPSPadで確認できる
  • ただし今回のバグは、ネットワークレンダリングスタックやAIとは関係なさそうだ。MSRCによれば、攻撃者がMarkdownファイル内のリンクをクリックさせ、リモートファイルを実行させる問題だ。たとえば\\evil.example\virus.exeのようなリンクをクリックすると実行される
  • 問題は、Microsoftがネットワークレンダリングスタックを追加したことすら認識していたのか疑わしいことだ

• 面白いのは、ブラウザはずっと前からプロトコル実行前のユーザー警告を導入していたのに、MicrosoftはNotepadにクリック可能なリンクを追加しながら、それを完全に飛ばしたことだ。機能過剰の問題ではなく、すでに解決済みの問題を再発明して保護策を入れ忘れただけだ

• 「Markdownファイル内の悪意あるリンクをクリックするとリモートファイルが実行される」と聞いて驚いた。NotepadがMarkdownをレンダリングするとは知らなかった

  • Notepadが別のフォーマットまでレンダリングし始めたら、私がNotepadを使う理由、つまり書式を落とすための道具としての純粋さが失われる。Notepadの魔法は、マーケティングチームの書式設定を無視するその単純さにあった
  • おそらく最近追加された機能だと思う。毎日使っているが、Markdownレンダリングを見たのは先週が初めてだった
  • 「士気が上がるまで苦しみは続く」という言葉を思い出す

• 昔のようにNotepadがただテキストを表示する道具だった時代が恋しい

  • だから私はNotepad2を使っている。昔のNotepadはLF改行を正しく表示できなかったが、Notepad2は機能が少し多いだけで、今でも軽量でクリーンだ
  • 昔のXP時代はMetapadのような代替のほうが良かった

• もうWindowsそのものを捨てる時だ

  • 冗談ではなく、今年に入って「Windowsがひどすぎるから」とLinuxへ移る人が急増している。私も去年そうした。何十年も「まあまあ使える」で済ませてきたが、今は「これはもう無理だ」に変わった

• Notepadの役割はテキスト表示だけだったのに、Microsoftはそこに攻撃面を追加した。
  「Linuxデスクトップの年」が来る必要すらない。Windowsがこの調子なら、それだけで十分だ

  • だが実際には、Mac OSの時代が来そうだ。Mシリーズのチップが低価格帯にまで広がれば、みんなそちらへ移るだろう

Windows 11に強制アップグレードされてから、メモ帳の内容がたまに壊れるんだけど、本当にMSは目を覚まさないみたいですね

メモ帳はもういじるのやめて..

「Bush hid the facts」みたいなとんでもないバグ、
懐かしいですね。

ワードパッドが削除され、ワープロに入れるには微妙な書式付きテキストをMarkdownで扱うようになったことで、こういう事態が起きたのかもしれませんね。設定に行ってAIと書式設定機能を全部オフにするのが、セキュリティ上は良いのではないかと思います。