Ein simpler Klick auf einen Link im Windows-Notepad kann Hackern die vollständige Kontrolle über den PC geben. Microsoft hat eine kritische Sicherheitslücke im modernen Texteditor geschlossen, die durch neue Funktionen wie Markdown-Support entstanden ist. Die Schwachstelle zeigt die Risiken, wenn einfache Kernprogramme mit komplexen Features aufgebläht werden.
Wie ein harmloser Link zum Einfallstor wird
Die Sicherheitslücke mit der Kennung CVE-2026-20841 ist tückisch einfach auszunutzen. Angreifer können ein speziell präpariertes Markdown-Dokument (.md) versenden, das einen scheinbar harmlosen Link enthält. Öffnet das Opfer diese Datei im betroffenen Notepad von Windows 11 und klickt auf den Link, geschieht Unerwartetes.
Statt eine Webseite zu öffnen, wird der Editor dazu gebracht, ungeprüfte Protokolle auszuführen. Diese können eine Verbindung zu einem Server des Angreifers herstellen, Schadcode herunterladen und auf dem Rechner des Nutzers ausführen. Das gefährliche Programm erhält dabei die gleichen Rechte wie der angemeldete Benutzer. Bei Administratoren-Rechten droht die vollständige Übernahme des Systems.
Moderne Features schaffen neue Angriffsflächen
Die Ursache der Schwachstelle liegt in der Modernisierung des einst schlichten Texteditors. Der klassische Notepad konnte weder Links rendern noch komplexe Befehle interpretieren. Seit Microsoft jedoch das alte WordPad ausmustert, rüstet es den Notepad mit neuen Funktionen auf – darunter die Unterstützung für Markdown-Formatierung.
Diese Erweiterung schuf eine völlig neue Angriffsfläche. Indem der Editor aktive Inhalte wie Hyperlinks verarbeiten kann, wurde eine Tür für sogenannte Command-Injection-Angriffe geöffnet, die es zuvor nicht gab. Kritiker sehen in dieser Lücke ein Lehrstück für die Gefahren, wenn einfache Systemprogramme mit vermeintlich nützlichen Features überladen werden.
So schützen Sie sich vor der Gefahr
Microsoft hat das Problem im Rahmen der Patch-Tuesday-Updates vom Februar 2026 behoben. Insgesamt schloss der Konzern in diesem Zyklus 59 Sicherheitslücken, darunter mehrere Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt wurden.
Der entscheidende Unterschied: Das Update für den Notepad wird nicht über das Windows-Update, sondern über den Microsoft Store ausgeliefert. Nutzer müssen die App manuell auf Version 11.2510 oder höher aktualisieren. Viele Systeme laden Store-App-Updates nicht automatisch, weshalb ein manueller Check notwendig sein kann.
Wenn Sie ohnehin über ein Upgrade auf Windows 11 nachdenken – oder Ihr PC offiziell als „inkompatibel“ eingestuft wird – kann ein kostenloser Gratis-Report zeigen, wie der Umstieg trotzdem möglich ist. Der Leitfaden erklärt legal nachprüfbare Schritte, wie Sie Windows 11 installieren können, ohne neue Hardware zu kaufen und ohne Datenverlust. Ihr Gratis-Report: So umgehen Sie die Systemanforderungen in Windows 11
Sicherheitsexperten raten dringend, die Aktualisierung umgehend durchzuführen. Die Lücke wurde zwar noch nicht in der Wildnis beobachtet, ihre Einfachheit macht sie zum idealen Kandidaten für zukünftige Phishing-Kampagnen. Die Empfehlung lautet: Dateianhänge und Links aus unbekannten Quellen generell mit Vorsicht behandeln – selbst wenn sie in einem so vertrauten Programm wie dem Notepad erscheinen.
