Schwachstelle

Notepad: Neue Markdown-Funktion öffnet Tür für Angreifer

Notepad
Bildquelle: aileenchik/Shutterstock.com
LinkedInRedditWhatsApp

Kaum hat Microsoft dem simplen Texteditor Notepad eine Markdown-Funktion verpasst, klafft darin bereits eine kritische Sicherheitslücke.

Nur wenige Monate nachdem Microsoft dem Windows-Editor Notepad Markdown-Unterstützung spendiert hat, haben Sicherheitsforscher eine Schwachstelle entdeckt, über die sich Schadcode ausführen lässt. Die als CVE-2026-20841 katalogisierte Lücke wurde mit einem CVSS-Score von 8.8 bewertet und mit den jüngsten Patch-Tuesday-Updates geschlossen.

Anzeige

Social Engineering als Voraussetzung

Die Schwachstelle erreicht keine Höchstwertung, da für eine erfolgreiche Ausnutzung Social Engineering erforderlich ist. Allerdings sind die Hürden vergleichsweise niedrig: Angreifer müssen Nutzer lediglich dazu bringen, eine präparierte Markdown-Datei zu öffnen und auf einen darin eingebetteten Link zu klicken.

Laut Microsoft-Erklärung können Hacker über die Lücke “nicht verifizierte Protokolle” starten, die Dateien mit den Berechtigungen des angemeldeten Nutzers laden und ausführen. Da Notepad standardmäßig auf den meisten Windows-Rechnern installiert ist, ist die potenzielle Angriffsfläche entsprechend groß.

Bislang gibt es nach Angaben von Microsoft keine bekannten Fälle, in denen die Schwachstelle tatsächlich ausgenutzt wurde.

Anzeige

Umstrittenes Feature-Update

Markdown ist eine vereinfachte Auszeichnungssprache, mit der sich Texte formatieren lassen, etwa durch Sternchen für Fettdruck oder Rauten für Überschriften. Die neue Notepad-Funktion rendert solche Markdown-Dateien direkt im Editor und macht dabei auch eingebettete Links anklickbar. Genau hier liegt das Problem: Über präparierte Links in Markdown-Dateien lässt sich die Schwachstelle ausnutzen.

Microsoft hatte die Markdown-Funktionalität im Mai 2025 eingeführt und damit Notepad in Richtung des eingestellten WordPad weiterentwickelt. Die Änderung stieß auf geteiltes Echo. Während einige Nutzer das neue Feature begrüßten, kritisierten viele andere, dass die ursprüngliche Philosophie von Notepad als schlankes, schnelles Programm ohne Schnickschnack damit verraten werde.


Lars

Becker

Stellvertretender Chefredakteur

IT Verlag GmbH

Anzeige
Siemens
12. Februar 2026
Prognose nach oben: Siemens überholt SAP erneut
Notepad
12. Februar 2026
Notepad: Neue Markdown-Funktion öffnet Tür für Angreifer
BSI
12. Februar 2026
BSI gibt klassischer Verschlüsselung ein Ablaufdatum
Cyberark
12. Februar 2026
Palo Alto holt sich CyberArk für Identity Security

Weitere Artikel

Prognose nach oben: Siemens überholt SAP erneut
BSI gibt klassischer Verschlüsselung ein Ablaufdatum
Palo Alto holt sich CyberArk für Identity Security
Instagram-Chef verneint Suchtgefahr der App
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.