Lỗ hổng thực thi mã từ xa CVE-2026-20841 trong ứng dụng Notepad của Windows

 (cve.org)
4 điểm bởi GN⁺ 2026-02-12 | 7 bình luận | Chia sẻ qua WhatsApp
  • Một lỗ hổng chèn lệnh (command injection) đã được phát hiện trong ứng dụng Notepad của Windows, được báo cáo là có thể dẫn tới thực thi mã từ xa
  • Kẻ tấn công chưa xác thực có thể thực thi lệnh độc hại qua mạng, và cấu trúc tấn công này yêu cầu người dùng phải có tương tác
  • Lỗ hổng ảnh hưởng đến Windows Notepad từ phiên bản 11.0.0 đến trước 11.2510
  • Được đánh giá ở mức CVSS 3.1 điểm 8.8 (Cao), với mức ảnh hưởng cao đến cả tính bảo mật, tính toàn vẹn và tính sẵn sàng
  • Microsoft đã đăng ký mã CVE-2026-20841, đồng thời cung cấp bản vá bảo mật và khuyến nghị thông qua MSRC (Microsoft Security Response Center)

Tổng quan về CVE-2026-20841

  • Lỗ hổng này được phân loại là lỗ hổng chèn lệnh (CWE-77) xảy ra trong Windows Notepad App
    • Các lệnh có thể bị thao túng do việc trung hòa không phù hợp các ký tự đặc biệt
    • Kẻ tấn công có thể thực hiện thực thi mã từ xa qua mạng
  • CNA (cơ quan đăng ký chính thức) là Microsoft Corporation; CVE được công bố vào ngày 10 tháng 2 năm 2026 và cập nhật ngày 11 tháng 2

Chi tiết kỹ thuật

  • Loại lỗ hổng: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • Phạm vi ảnh hưởng: Windows Notepad phiên bản từ 11.0.0 trở lên và trước 11.2510
  • Đánh giá CVSS 3.1:
    • Điểm số: 8.8 (High)
    • Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • Có thể truy cập qua mạng, độ phức tạp thấp, cần tương tác của người dùng

Tác động và mức độ rủi ro

  • Kẻ tấn công có thể thực thi mã từ xa mà không cần xác thực
  • Cả tính bảo mật (C), tính toàn vẹn (I), tính sẵn sàng (A) của hệ thống đều chịu ảnh hưởng ở mức cao
  • Trạng thái cơ bản của lỗ hổng được đánh dấu là “affected”, và các phiên bản bị ảnh hưởng đã được nêu rõ

Tài liệu tham khảo và ứng phó

  • Khuyến nghị bảo mật chính thức của Microsoft được cung cấp tại MSRC Update Guide
  • Chương trình CVE có thêm thông tin về lỗ hổng này, và CISA-ADP được nêu là đơn vị phát hành dữ liệu đã được phê duyệt
  • Tham chiếu bên ngoài liên quan bao gồm bài đăng Hacker News (https://news.ycombinator.com/item?id=46971516)

Tóm tắt

  • CVE-2026-20841 là lỗ hổng thực thi mã từ xa trong ứng dụng Notepad của Windows, một vấn đề bảo mật có mức độ nghiêm trọng cao (8.8 điểm)
  • Microsoft đã chính thức đăng ký và đang triển khai bản vá; người dùng nên cập nhật lên phiên bản mới nhất
  • Lỗ hổng này tiềm ẩn khả năng bị khai thác thông qua chèn lệnh và có thể bị tấn công qua mạng

Bài viết liên quan

7 bình luận

 
jwh926 2026-02-12

microslop.
 
mammal 2026-02-12

Làm ơn với những phần nền tảng như OS và trình duyệt thì chỉ cần cung cấp những thứ cơ bản thôi, đừng nhét mấy thứ rác như cloud / AI / tích hợp vào.

Các tính năng của nhà cung cấp hoàn toàn có thể được cung cấp như một lớp ở bên trên là đủ rồi...
 
GN⁺ 2026-02-12
Ý kiến trên Hacker News

  • Nếu nhìn vào báo cáo cổ đông năm 2025, Windows đứng thứ 5 về nguồn doanh thu, thậm chí còn dưới cả LinkedIn
    Giờ có vẻ Microsoft chẳng còn quan tâm đến Windows hay Notepad nữa

    • Windows giống như con ngựa thành Troy của họ
    • Trong báo cáo, doanh thu được chia thành ba nhóm — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — và Windows chỉ là một phần của nhóm thứ ba. Vậy nên tôi không rõ người ta dựa vào đâu để kết luận nó đứng thứ 5
    • Microsoft sớm muộn gì cũng vẫn là Windows. Office có rất nhiều lựa chọn thay thế, họ không có mô hình AI nào, Github thì bất ổn, Azure thì tệ, Xbox thì thất bại. Nếu Windows chết, mọi thứ xây trên nó cũng sẽ biến mất theo

  • Cốt lõi của vấn đề là xử lý liên kết
    Theo CVE-2026-20841, nếu kẻ tấn công dụ người dùng nhấp vào liên kết độc hại trong file Markdown, Notepad có thể thực thi giao thức chưa được xác minh và tải tệp từ xa

    • Việc Notepad xử lý liên kết nghe cứ như cây bút chì lại có lỗ hổng nạp mực vậy. Trò đùa ngày xưa “nếu Microsoft làm ô tô” giờ thành hiện thực rồi (liên kết liên quan)
    • Tôi không chắc đây có thật sự là vấn đề lớn không. Chẳng phải đây là kiểu vấn đề có thể xuất hiện ở mọi ứng dụng render liên kết có thể nhấp—như trình duyệt hay email client—hay sao?
    • Tôi tò mò “unverified protocols” là gì. Windows có URL scheme kiểu exe:// để gọi thẳng file thực thi à?

  • Trước đây tôi đã tìm lại Windows 98 Notepad và chạy thử trên Windows 11, nó hoạt động hoàn hảo. Gõ văn bản, lưu, mở file đều được. Còn cần gì hơn nữa chứ. Chưa kể font chữ còn gợi cảm giác hoài niệm

    • Notepad của Win9x chỉ mở được tối đa 64KB và chỉ hỗ trợ mã hóa ANSI. Các phiên bản sau có vài cải tiến hữu ích như hỗ trợ LF, nhưng các tính năng thêm vào trên Windows 11 đều chỉ là gánh nặng không cần thiết
    • Tôi đang trích notepad.exe, calc.exe, mspaint.exe từ Windows 7 để dùng trên Windows 11. Chúng chạy hoàn hảo
    • Lý do cửa sổ “About Notepad” hiển thị phiên bản Windows 11 là vì chương trình gọi Windows API để hiện phiên bản hệ thống
    • Thực ra trên Windows 11 vẫn còn notepad.exe cũ. Chỉ là khi chạy thì nó bị chuyển hướng sang app mới. Tắt “App execution aliases” trong Settings là có thể dùng lại Notepad cũ nguyên bản
    • Không biết với bản đó thì dùng Notepad Copilot cho Copilot 365 kiểu gì

  • Mấy ngày trước Notepad++ bị xâm nhập bởi tác nhân tấn công cấp quốc gia, hôm nay thì Notepad tích hợp sẵn của Windows lại có CVE. Giờ có lẽ phải xóa sạch Windows thôi. Không có sandboxing, lại còn là một núi mã legacy

    • Xét về mặt kỹ thuật thì hệ Unix cũng là một đống legacy, nhưng Windows đúng là một bãi rác khổng lồ
    • Vụ Notepad++ là do một nhóm tấn công gốc Trung Quốc xâm nhập nhà cung cấp hosting. Việc xác minh cập nhật cũng đã được cải thiện, và còn có lựa chọn thay thế như scoop. Cuộc tấn công rất hạn chế và IOC cũng đã được công bố
    • Vụ xâm nhập thật ra không diễn ra vài ngày trước mà là vài tháng trước, và kéo dài trong nhiều tuần
    • Tôi dùng gvim trên Windows để thay Notepad. Không cần plugin cũng đủ dùng
    • Giờ chỉ còn thiếu RCE qua biểu tượng chuột nữa thôi. Lúc đó mới thật sự là đỉnh điểm

  • Giờ chúng ta đã đi đến kết cục logic của đường ống thừa tính năng → lỗ hổng
    Trong 30 năm, Notepad là tiêu chuẩn cho một trình xem văn bản đơn giản, mà giờ lại nhận điểm CVSS 8.8, đó là sự sụp đổ của nguyên tắc đặc quyền tối thiểu. Câu hỏi không nên là “ta có thể thêm tính năng này không?” mà là “trình soạn thảo văn bản này có cần một network rendering stack không?”

    • Và họ còn không dừng ở đó mà hỏi tiếp “có cần AI không?”, rồi đưa ra câu trả lời sai
    • Tất nhiên ngày xưa Notepad cũng từng có những bug kỳ quặc như “Bush hid the facts”. Hồi đó Unicode và encoding là vấn đề khó, còn giờ chỉ là đang đánh một cuộc chiến khác thôi
    • Tôi hoàn toàn đồng ý. Một text editor có network stack là ổ lỗ hổng. Vì thế tôi đã tự viết một text editor chỉ chạy cục bộ bằng Rust. Không có quyền mạng, lưu trữ mã hóa, dùng OpenSSL tương thích FIPS. Có thể xem tại FIPSPad
    • Nhưng bug lần này có vẻ không liên quan đến network rendering stack hay AI. Theo MSRC, vấn đề là kẻ tấn công dụ người dùng nhấp vào liên kết trong file Markdown để chạy tệp từ xa. Ví dụ nhấp vào liên kết như \\evil.example\virus.exe thì nó sẽ chạy
    • Vấn đề là, tôi còn nghi ngờ liệu Microsoft có nhận ra rằng họ đã thêm một network rendering stack hay không

  • Điều buồn cười là các trình duyệt từ lâu đã có cảnh báo người dùng trước khi chạy giao thức, còn Microsoft thì thêm liên kết có thể nhấp vào Notepad mà lại bỏ qua hoàn toàn bước đó. Đây không chỉ là vấn đề thừa tính năng, mà là phát minh lại một vấn đề đã được giải quyết rồi nhưng quên mất lớp bảo vệ

  • Tôi đã rất ngạc nhiên khi thấy câu “nhấp vào liên kết độc hại trong file Markdown thì tệp từ xa sẽ được chạy”. Tôi không biết Notepad lại render Markdown

    • Nếu Notepad bắt đầu render các định dạng khác, thì lý do tôi dùng Notepad—tức sự thuần khiết như một công cụ bỏ định dạng—sẽ biến mất. Phép màu của Notepad nằm ở sự đơn giản, phớt lờ mọi định dạng từ đội marketing
    • Có lẽ đây là tính năng mới được thêm gần đây. Tôi dùng hằng ngày và chỉ mới thấy render Markdown từ tuần trước
    • Làm tôi nhớ đến câu “đau khổ sẽ tiếp diễn cho đến khi tinh thần được cải thiện”

  • Tôi nhớ thời Notepad chỉ đơn giản là công cụ hiển thị văn bản

    • Vì thế tôi dùng Notepad2. Notepad ngày xưa không hiển thị đúng xuống dòng LF, còn Notepad2 thì có thêm chút tính năng nhưng vẫn nhẹ và gọn gàng
    • Thời XP trước đây, các lựa chọn thay thế như Metapad còn tốt hơn

  • Đã đến lúc phải vứt bỏ chính Windows rồi

    • Không đùa đâu, năm nay số người chuyển sang Linux vì “Windows quá tệ” đã tăng mạnh. Tôi cũng vậy từ năm ngoái. Sau hàng chục năm kiểu “tàm tạm cũng được”, giờ đã thành “thế này thì thật sự không chịu nổi”

  • Vai trò của Notepad vốn chỉ là hiển thị văn bản, vậy mà Microsoft lại thêm vào đó bề mặt tấn công.
    Chẳng cần phải đợi “năm của Linux desktop” nữa — nếu Windows cứ tiếp tục như thế này thì tự nó đã đủ rồi

    • Nhưng thực tế có lẽ sẽ là thời đại của Mac OS. Khi chip dòng M phổ biến cả xuống phân khúc giá rẻ, mọi người sẽ chuyển hết sang đó
 
savvykang 2026-02-12

Sau khi bị ép nâng cấp lên Windows 11 thì nội dung trong Notepad thỉnh thoảng lại bị hỏng, đúng là có vẻ MS vẫn chưa chịu tỉnh ra.
 
sudosudo 2026-02-12

Làm ơn đừng thay đổi Notepad nữa..
 
kayws426 2026-02-12

Một lỗi ngớ ngẩn kiểu như “Bush hid the facts”
thật là gợi lại ký ức.
 
ssolarsystem 2026-02-12

Có vẻ là từ khi WordPad bị gỡ bỏ, người ta bắt đầu nhét các văn bản có định dạng khó mà đưa vào trình xử lý văn bản bằng Markdown nên mới xảy ra chuyện này. Tôi nghĩ về mặt bảo mật thì vào phần cài đặt và tắt hết các tính năng AI cùng định dạng đi sẽ tốt hơn.