此次修复工作被纳入 2026 年 2 月的“礼拜二补丁日”(Patch Tuesday)例行安然更新中,并于 2026 年 2 月 10 日正式推送。 微软建议用户安装最新的 Windows 更新,并确保从 Microsoft Store 获取的记事本应用为最新版本,以获得相干安然修复。 用户还可以经由过程微软安然门户查看该马脚条目,懂得更为具体的技巧信息和补丁解释。
该马脚编号为 CVE-2026-20841,被归类为长途代码履行(RCE)马脚,根源在于记事本在处理特天敕令时,没有对危险的特别字符进行充分清理或阻断。 根据微软在安然更新指南中的解释,进击者可以构造特制的恶意 Markdown 文件,在文件中嵌入经由精心假装的链接。 一旦用户应用记事本打开该文件并点击个中的链接,进击链就可能被触发,脚本会被启动,用于下载并履行恶意代码。 假如进击过程全部到手,黑客即可获得目标电脑的完全控制权限,继而拜访或操作体系中的各类资本和权限。
在风险评级方面,这一马脚的 CVSS v3.1 基本分为 8.8,属于“高危”级别,微软在自家体系中也将其标记为“重要”。 截至补丁宣布时,微软表示尚未监测到该马脚在野外被公开应用的情况,但仍催促用户尽快完成体系更新,以降低潜在风险。
这起事宜也激发了部分用户对微软为记事本付与收集功能这一决定的质疑。 有效户认为,记事本作为一款简单的文本编辑器,并不须要持续保持联网才能,而收集拜访反而增长了潜在进击面。 不过,今朝让记事本可以或许拜访互联网,是保持其内置 Copilot 集成功能运作的前提之一,微软比来也曾为记事本引入更多格局化对象与 AI 相干特点。 至于 Copilot 是否有须要涌如今如许一款轻量级编辑器中,在用户社区内仍存在不少争议和评论辩论。
懂得更多:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841
发表评论 取消回复