Windows Centralは2月12日(現地時間)、「Microsoft patches Notepad's severe Markdown security flaw」において、MicrosoftがWindows 11のメモ帳で発見された重大な脆弱性を修正したと伝えた。

攻撃者がこの脆弱性を悪用した場合、ユーザー権限で任意のコードを実行できる可能性がある。悪用の報告はないものの、Microsoftはユーザーに対して早急にアップデートを適用することを推奨している。

  • メモ帳に発見されたリモートコード実行の脆弱性

    メモ帳に発見されたリモートコード実行の脆弱性

機能拡張が裏目に、任意コード実行の危険

Microsoftは2025年にメモ帳に対してマークダウン形式をサポートする機能拡張を行った。メモ帳は長年の間、テキスト形式のファイルを読み書きできるだけのシンプルなエディターであり続けてきたが、近年のマークダウン形式の普及を受けて、Microsoftはこの方針を大きく転換した。

皮肉なことに、今回見つかった脆弱性は、このマークダウン機能の追加に起因している。Microsoftによれば、ユーザーが特定の細工を施したマークダウン形式のファイルをメモ帳で開いた場合、ファイル内に埋め込まれた任意のコードが実行されてしまうという。悪意を持った攻撃者がこの脆弱性を利用すれば、ユーザーにマークダウン形式のファイルをメモ帳で開かせるだけで、攻撃的なコードを実行することが可能になる。

ファイル内に埋め込まれたコードは、それを開いたユーザーの持つ権限で実行される。したがってもしもそのユーザーが管理者を含む上位の権限を持っていた場合にはより大きな被害につながる可能性がある。

この脆弱性は「CVE-2026-20841」として追跡されており、深刻度を表すCVSS v3のスコアは「7.8」となっている。なお、CVSS v3スコアは発表当初は8.8だったが、その後7.8に下方修正されている。それでも重要度は上から2番目にあたる「高」であり、早急な対処が必要だ。

2月の月例更新プログラムで修正

Microsoftは、2月10日リリースの月例更新プログラムの一環として、メモ帳のこの脆弱性の修正パッチをリリースした。したがってWindows UpdateでWindows 11を更新するか、Microsoft Storeからメモ帳(Notepad)をバージョン11.2510以降にアップデートすれば、この脆弱性の影響を回避できる。

  • Microsoft Storeでもメモ帳(Notepad)の更新が可能

    Microsoft Storeでもメモ帳(Notepad)の更新が可能

Microsoftは近年、マークダウン形式のサポートだけでなく、メモ帳にさまざまな機能を追加している。それらの新機能によって利便性は向上しているが、その一方で機能拡張に伴う安定性やセキュリティへの影響を懸念する声もある。今回のケースはその懸念が現実化したものだ。Microsoftには、利便性を追求するだけでなく、安全性・安定性の確保を優先する姿勢が求められている。