{"id":321801,"date":"2026-02-23T08:17:17","date_gmt":"2026-02-23T07:17:17","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321801"},"modified":"2026-02-23T15:53:46","modified_gmt":"2026-02-23T14:53:46","slug":"windows-notepad-cve-2026-20841-und-bald-grafiken-einbindbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/23\/windows-notepad-cve-2026-20841-und-bald-grafiken-einbindbar\/","title":{"rendered":"Windows Notepad: CVE-2026-20841 und bald Grafiken einbindbar"},"content":{"rendered":"

\"Bug\"Gerade lese ich, dass der Windows Editor Notepad \"bald\" auch Bilder einbinden k\u00f6nnen soll. Dabei hatten wir doch erst die Schwachstelle CVE-2026-20841, die alle Windows-Systeme f\u00fcr einen RCE-Angriff anf\u00e4llig machte. Was l\u00e4uft blo\u00df schief?<\/p>\n

<\/p>\n

Der Windows Editor Notepad<\/h2>\n

\"\"Der Windows Editor Notepad war drei Jahrzehnte ein einfaches Tool, um Textdateien ansehen und bearbeiten zu k\u00f6nnen. Erst seit Microsoft auf dem KI-Trip ist, und das Teil als App aus dem Store kommt, reichern die Entwickler den Editor mit allerlei Funktionen an, die eigentlich niemand gefordert hat. Da kann man inzwischen Tabellen und Markdown mit verarbeiten – alles weit weg von der Funktion eines Text-Editors. Nachfolgend die Meldung eines englischen Mediums zu neuen Notepad-Funktionen.<\/p>\n

\"Notepad<\/p>\n

Ich hatte das bereits vor einigen Wochen im Beitrag\u00a0Notepad bekommt mehr AI und Tabellen: Wo sind wir falsch abgebogen?<\/a> angesprochen und gefragt, was da wohl schief l\u00e4uft.\u00a0Zum Wochenende las ich bei den Kollegen von Dr. Windows den Beitrag\u00a0Notepad f\u00fcr Windows 11 kann wohl bald auch Bilder einf\u00fcgen<\/a>– was kann schon schief gehen?<\/p>\n

Schwachstelle CVE-2026-20841 in Notepad-App<\/h2>\n

Zum 10. Februar 2026 gab es dann die Antwort auf die Frage \"was kann schon schief gehen\". Ich hatte es im Beitrag Microsoft Security Update Summary<\/a> (10. Februar 2026) erw\u00e4hnt. Es ist unglaublich, im Windows-Editor Notepad wurde in der App-Variante eine als Remote Code Execution (RCE) eingestufte Schwachstelle CVE-2026-20841<\/a> publik. Dieser wurde ein CVSS 3.1 Score von 7.8 (Hoch) zugeordnet.<\/p>\n

Wird ein Nutzer der Notepad-App dazu verleitet, auf einen b\u00f6sartigen Link in einer in Notepad ge\u00f6ffneten Markdown-Datei zu klicken, k\u00f6nnte dies einem Angreifer erm\u00f6glichen, nicht vertrauensw\u00fcrdige Protokolle auszuf\u00fchren. Am Ende des Tages lie\u00dfen sich Remote-Inhalte herunterladen und ausf\u00fchren. Die Schwachstelle wurde dann mit den Windows-Updates vom 10. Februar 2026 geschlossen.<\/p>\n

Die Zero-Day-Initiative hat nun noch einige Details\u00a0ver\u00f6ffentlicht<\/a>. Die ganze Misere resultiert aus der unzureichenden Filterung von Marktdown-Inhalten. Nur muss man das Ganze deutlich aussprechen: Es hat meines Wissens nach niemand nach den obigen Erweiterungen des Windows-Editors Notepad gerufen. Das Tool war einfach und quasi kaum angreifbar. Nun wird in die App allerlei an Features eingebaut, und schon rappelt es mit einer fetten Schwachstelle. Microsoft h\u00e4tte ja auch einen WordPad-Ersatz mit diesen Funktionen aufbauen und den Notepad auf dem alten Stand belassen k\u00f6nnen. Aber nein, die wissen schon, was f\u00fcr die Leute gut ist.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary<\/a>
\nNotepad bekommt mehr AI und Tabellen: Wo sind wir falsch abgebogen?<\/a>
\nWindows 10: Notepad soll in den App-Store<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Gerade lese ich, dass der Windows Editor Notepad \"bald\" auch Bilder einbinden k\u00f6nnen soll. Dabei hatten wir doch erst die Schwachstelle CVE-2026-20841, die alle Windows-Systeme f\u00fcr einen RCE-Angriff anf\u00e4llig machte. Was l\u00e4uft blo\u00df schief?<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[70,4328,3288],"class_list":["post-321801","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-notepad","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321801"}],"version-history":[{"count":8,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321801\/revisions"}],"predecessor-version":[{"id":321810,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321801\/revisions\/321810"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}