Windows Notepad ऐप में remote code execution कमजोरी CVE-2026-20841

 (cve.org)
4 पॉइंट द्वारा GN⁺ 2026-02-12 | 7 टिप्पणियां | WhatsApp पर शेयर करें
  • Windows Notepad ऐप में command injection कमजोरी पाई गई है, जिसके कारण remote code execution संभव होने की सूचना है
  • अनऑथेंटिकेटेड attacker नेटवर्क के ज़रिए malicious command चला सकता है, और इसके लिए user interaction की आवश्यकता है
  • यह कमजोरी Windows Notepad version 11.0.0 से 11.2510 से पहले के version तक को प्रभावित करती है
  • CVSS 3.1 score 8.8 (High) के रूप में इसका आकलन किया गया है, और confidentiality, integrity, availability — तीनों पर उच्च प्रभाव है
  • Microsoft ने इसे CVE-2026-20841 के रूप में दर्ज किया है, और security patch तथा advisory MSRC(Microsoft Security Response Center) के माध्यम से उपलब्ध कराए गए हैं

CVE-2026-20841 अवलोकन

  • इस कमजोरी को Windows Notepad App में पाई गई command injection vulnerability (CWE-77) के रूप में वर्गीकृत किया गया है
    • special characters के improper neutralization की वजह से commands के साथ छेड़छाड़ की जा सकती है
    • attacker नेटवर्क के माध्यम से remote code execution कर सकता है
  • CNA (आधिकारिक पंजीकरण संस्था) Microsoft Corporation है, और CVE 10 फ़रवरी 2026 को सार्वजनिक किया गया था, 11 फ़रवरी को अपडेट किया गया

तकनीकी विवरण

  • कमजोरी का प्रकार: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • प्रभावित दायरा: Windows Notepad 11.0.0 या उससे ऊपर, लेकिन 11.2510 से नीचे के version
  • CVSS 3.1 मूल्यांकन:
    • score: 8.8 (High)
    • vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • नेटवर्क के ज़रिए पहुँच संभव, कम जटिलता, user interaction आवश्यक

प्रभाव और जोखिम स्तर

  • attacker बिना authentication के remote code execution कर सकता है
  • सिस्टम की confidentiality(C), integrity(I), availability(A) — तीनों पर उच्च स्तर का प्रभाव पड़ता है
  • कमजोरी की आधार स्थिति “affected” के रूप में चिह्नित है, और प्रभावित version स्पष्ट रूप से बताए गए हैं

संदर्भ सामग्री और प्रतिक्रिया

  • Microsoft की आधिकारिक security advisory MSRC अपडेट गाइड पर उपलब्ध है
  • CVE program में इस कमजोरी के बारे में अतिरिक्त जानकारी शामिल है, और CISA-ADP को स्वीकृत data publisher के रूप में दर्शाया गया है
  • संबंधित external reference के रूप में Hacker News पोस्ट(https://news.ycombinator.com/item?id=46971516) शामिल है

सारांश

  • CVE-2026-20841 Windows Notepad ऐप की remote code execution कमजोरी है, जो उच्च गंभीरता (8.8 score) वाला security issue है
  • Microsoft ने इसे आधिकारिक रूप से दर्ज किया है और patch जारी कर रहा है, इसलिए users को latest version में update करना चाहिए
  • यह कमजोरी command injection के ज़रिए हमले की संभावना रखती है और नेटवर्क-आधारित हमलों के लिए exposed हो सकती है

संबंधित पढ़ाई

7 टिप्पणियां

 
jwh926 2026-02-12

microslop.
 
mammal 2026-02-12

कृपया OS और ब्राउज़र जैसे बुनियादी हिस्सों में cloud / AI / integration जैसी ये बेकार चीज़ें डाले बिना सिर्फ़ बेसिक सुविधाएँ ही दें।

vendor features उसके ऊपर एक layer के रूप में दें, वही काफ़ी होगा...
 
GN⁺ 2026-02-12
Hacker News की राय

  • 2025 की shareholder report देखें तो, Windows राजस्व स्रोतों में 5वें स्थान पर है, LinkedIn से भी नीचे
    अब लगता है कि Microsoft को Windows या Notepad की कोई खास परवाह नहीं है

    • Windows उनके लिए एक तरह का Trojan horse है
    • रिपोर्ट में राजस्व को तीन categories में बाँटा गया है — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — और Windows सिर्फ तीसरे group का एक हिस्सा है। तो फिर इसे 5वां कैसे माना गया, यह जानने की उत्सुकता है
    • Microsoft लगभग Windows ही है। Office के बहुत से alternatives हैं, AI models उनके पास नहीं हैं, Github अस्थिर है, Azure खराब है, Xbox बर्बाद हो चुका है। अगर Windows मर गया, तो उसके ऊपर टिका बाकी सब भी साथ चला जाएगा

  • समस्या का मूल link handling है
    CVE-2026-20841 के अनुसार, अगर हमलावर किसी को Markdown फ़ाइल के भीतर मौजूद malicious link पर click करने के लिए उकसाए, तो Notepad unverified protocol चलाकर remote file ला सकता है

    • Notepad links handle करता है, यह वैसा लगता है जैसे पेंसिल में ink-loading vulnerability हो। पुराने “अगर Microsoft कार बनाती” वाले मज़ाक का सच हो जाना जैसा है (संबंधित लिंक)
    • पता नहीं यह सच में इतना बड़ा मुद्दा है या नहीं। क्या clickable links render करने वाले हर app—browser या email client वगैरह—में ऐसा issue नहीं हो सकता?
    • जानना है कि “unverified protocols” आखिर हैं क्या। क्या Windows में exe:// जैसी कोई URL scheme है जो executable को सीधे चला दे?

  • मैंने पहले Windows 98 Notepad ढूँढकर Windows 11 पर चलाया था, और वह बिल्कुल ठीक चला। text input, save, load सब काम करता है। उससे ज़्यादा और क्या चाहिए? ऊपर से font भी nostalgia जगाता है

    • Win9x Notepad सिर्फ 64KB तक खोल सकता है और केवल ANSI encoding support करता है। बाद के versions में LF support जैसे उपयोगी सुधार आए, लेकिन Windows 11 की extra features सब अनावश्यक बोझ हैं
    • मैं Windows 7 से notepad.exe, calc.exe, mspaint.exe निकालकर Windows 11 में इस्तेमाल कर रहा हूँ। बिल्कुल ठीक चलते हैं
    • “About Notepad” window में Windows 11 version दिखने की वजह यह है कि program Windows API call करके system version दिखाता है
    • दरअसल Windows 11 में पुराना notepad.exe अब भी है। बस चलाने पर उसे नए app की ओर redirect कर दिया जाता है। settings में “App execution aliases” बंद कर दें तो पुराना Notepad वैसे ही इस्तेमाल किया जा सकता है
    • सोच रहा हूँ उस version पर Notepad Copilot for Copilot 365 कैसे चलाया जाएगा

  • कुछ दिन पहले Notepad++ को state-sponsored attackers ने compromise किया, और आज Windows built-in Notepad के लिए CVE आ गया। अब तो लगता है Windows को पूरी तरह मिटा देना चाहिए। sandboxing भी नहीं, और legacy code का पहाड़ अलग

    • तकनीकी नज़र से देखें तो Unix परिवार भी legacy से भरा है, लेकिन Windows तो बस कचरे का पहाड़ है
    • Notepad++ वाला मामला चीन-संबंधित attacker group द्वारा hosting provider compromise करने का था। update verification भी बेहतर हुई है, और scoop जैसे alternatives भी हैं। हमला बहुत सीमित था और IOC पहले ही सार्वजनिक किए जा चुके हैं
    • असली compromise कुछ दिन पहले नहीं बल्कि कई महीने पहले हुआ था, और वह कई हफ्तों तक चला
    • मैं Windows पर gvim को Notepad के विकल्प के तौर पर इस्तेमाल करता हूँ। plugins के बिना भी पर्याप्त है
    • अब बस mouse icon RCE ही बाकी है। वही असली चरम होगा

  • हम अब feature bloat → vulnerability pipeline के तार्किक अंत तक पहुँच चुके हैं
    30 साल तक Notepad एक simple text viewer का मानक था, और अब उसे 8.8 CVSS score मिल रहा है, यह least privilege principle के टूटने जैसा है। सवाल “क्या हम यह feature जोड़ सकते हैं?” नहीं, बल्कि “क्या इस text editor को network rendering stack की ज़रूरत है?” होना चाहिए

    • वहाँ भी नहीं रुके, बल्कि “क्या इसमें AI चाहिए?” तक पूछा, और गलत जवाब निकाला
    • बेशक पहले भी Notepad में “Bush hid the facts” जैसे अजीब bug थे। तब Unicode और encoding मुश्किल मुद्दे थे, अब बस दूसरी लड़ाई चल रही है
    • मैं भी पूरी तरह सहमत हूँ। network stack वाला text editor vulnerabilities का अड्डा है। इसलिए मैंने Rust में केवल local-use text editor खुद बनाया। कोई network permission नहीं, encrypted storage, FIPS-compatible OpenSSL का उपयोग। FIPSPad पर देखा जा सकता है
    • लेकिन इस बार का bug network rendering stack या AI से जुड़ा नहीं लगता। MSRC के अनुसार, यह समस्या हमलावर द्वारा Markdown फ़ाइल के link पर click करवाकर remote file execute कराने की है। उदाहरण के लिए \\evil.example\virus.exe जैसे link पर click करने से वह चल सकता है
    • असली सवाल यह है कि क्या Microsoft को यह एहसास भी था कि उसने network rendering stack जोड़ दिया है

  • मज़ेदार बात यह है कि browsers ने बहुत पहले ही protocol चलाने से पहले user warning दिखाना शुरू कर दिया था, लेकिन Microsoft ने Notepad में clickable links जोड़ते समय उसे पूरी तरह छोड़ दिया। यह सिर्फ feature bloat की समस्या नहीं है, बल्कि पहले से हल किए जा चुके मुद्दे को फिर से बनाते समय सुरक्षा उपाय भूल जाने जैसा है

  • “Markdown फ़ाइल के अंदर malicious link पर click करने से remote file execute हो जाती है” यह पढ़कर हैरानी हुई। मुझे पता ही नहीं था कि Notepad Markdown render करता है

    • अगर Notepad दूसरे formats render करना शुरू कर दे, तो मैं जिस वजह से Notepad इस्तेमाल करता हूँ—यानी formatting हटाने वाले tool के रूप में उसकी शुद्धता—वह खत्म हो जाती है। Notepad का जादू उसकी वही सादगी थी जो marketing team की formatting को नज़रअंदाज़ कर देती थी
    • शायद यह हाल में जोड़ा गया feature है। मैं इसे रोज़ इस्तेमाल करता हूँ, और पिछले हफ्ते पहली बार Markdown rendering देखा
    • यह कहावत याद आती है: “जब तक morale improve न हो, तब तक suffering जारी रहेगी”

  • मुझे वह समय याद आता है जब Notepad बस text दिखाने का tool हुआ करता था

    • इसलिए मैं Notepad2 इस्तेमाल करता हूँ। पुराना Notepad LF line breaks ठीक से नहीं दिखा पाता था, लेकिन Notepad2 में कुछ extra features हैं और फिर भी यह हल्का और साफ-सुथरा है
    • पुराने XP ज़माने में Metapad जैसे alternatives बेहतर थे

  • अब Windows को ही छोड़ देने का समय आ गया है

    • मज़ाक नहीं, इस साल “Windows बहुत खराब हो गया है” कहकर Linux पर जाने वाले लोगों की संख्या तेज़ी से बढ़ी है। मैंने भी पिछले साल यही किया। दशकों तक “चलो, ठीक-ठाक है” से अब बात “यह अब बर्दाश्त के बाहर है” तक पहुँच गई है

  • Notepad का काम सिर्फ text दिखाना था, लेकिन Microsoft ने उसमें attack surface जोड़ दिया।
    “Linux desktop का साल” आने की ज़रूरत भी नहीं — अगर Windows ऐसे ही चलता रहा तो वही काफी है

    • लेकिन वास्तव में शायद Mac OS का दौर आएगा। जैसे-जैसे M series chips low-end तक फैलेंगे, सब उधर चले जाएँगे
 
savvykang 2026-02-12

Windows 11 पर जबरन अपग्रेड करने के बाद कभी-कभी Notepad का कंटेंट खराब हो जाता है, लगता है MS सच में अब भी नहीं संभल रहा।
 
sudosudo 2026-02-12

Notepad को अब बस बदलना बंद करो..
 
kayws426 2026-02-12

“Bush hid the facts” जैसी अजीब बग
याद आ गई।
 
ssolarsystem 2026-02-12

लगता है कि WordPad हटने के बाद जो formatted text word processor में डालना अटपटा था, उसे Markdown में डालने लगे और वहीं से यह मामला हुआ। मेरा मानना है कि settings में जाकर AI और formatting features दोनों बंद कर देना सुरक्षा के लिहाज़ से बेहतर होगा।