Durante anos, o Bloco de Notas foi um dos programas mais simples e seguros do Windows. Era só abrir arquivos .txt e pronto. Sem recursos extras, sem formatação, sem dor de cabeça. Mas a Microsoft decidiu modernizar o aplicativo no Windows 11, adicionando suporte a Markdown, links clicáveis e até integração com IA e isso resultou numa vulnerabilidade grave que pode permitir ataques remotos.
Microsoft confirma falha de segurança no Bloco de Notas
A empresa confirmou uma falha crítica de Execução Remota de Código (RCE) no Notepad moderno do Windows 11. O problema já está sendo corrigido na atualização Patch Tuesday de fevereiro de 2026, mas mostra como transformar um software simples em algo mais complexo também aumenta os riscos.
A falha foi registrada como CVE-2026-20841 e recebeu classificação de gravidade alta, com pontuação CVSS 8,8. Segundo a própria Microsoft, o problema pode permitir que um invasor execute código no computador da vítima se ela abrir um arquivo Markdown malicioso e clicar em um link.
O erro acontece por causa de uma falha conhecida como injeção de comando, causada pela validação incorreta de elementos especiais dentro de links. Na realidade, isso faz o aplicativo ter a capacidade de ativar protocolos não verificados e executar conteúdo remoto.
Em termos simples, o golpe funciona assim: um atacante envia um arquivo .md por e-mail ou mensagem; o usuário abre o arquivo no Bloco de Notas e ao clicar no link, o sistema executa um código malicioso.
O código roda com as mesmas permissões da conta do usuário. Se o computador estiver logado como administrador, o problema pode ser muito mais grave, podendo roubar seus dados, alterar os arquivos ou comprometer completamente o sistema. A boa notícia é que a Microsoft afirma que nada disso aconteceu até agora.
Correção já está disponível
A atualização de segurança já está sendo distribuída pela Microsoft como parte do Patch Tuesday de fevereiro de 2026, incluindo atualizações do Windows 11 e do aplicativo via Microsoft Store. A recomendação é manter o sistema atualizado e evitar abrir arquivos Markdown recebidos de fontes desconhecidas, especialmente anexos de e-mail ou downloads suspeitos.