Microsoft telah memperbaiki celah keamanan pada Notepad Windows 11 yang memungkinkan eksekusi program lokal maupun jarak jauh melalui tautan Markdown berbahaya, tanpa menampilkan peringatan keamanan Windows.
Kerentanan ini dikategorikan sebagai remote code execution (RCE) dan dilacak dengan kode CVE-2026-20841. Perbaikan dirilis dalam pembaruan Patch Tuesday Februari 2026.
Modernisasi Notepad dan Dukungan Markdown
Sejak Windows 11, Microsoft memodernisasi Notepad dengan menambahkan dukungan Markdown, memungkinkan pengguna membuka, mengedit, dan menyimpan file berekstensi .md.
Fitur ini memungkinkan teks diformat menggunakan sintaks sederhana, termasuk membuat tautan yang dapat diklik. Misalnya:
**Teks tebal**
[Contoh Link](https://example.com)
Namun, dukungan Markdown inilah yang membuka celah keamanan baru.
Cara Kerja Eksploitasi
Kerentanan terjadi karena Notepad tidak melakukan validasi yang memadai terhadap protokol URL non-standar di dalam file Markdown.
Penyerang cukup membuat file Markdown berisi tautan seperti:
file://yang mengarah ke file executable lokal atau share SMBms-appinstaller://untuk memicu instalasi aplikasi- URI khusus lain seperti
ms-settings:
Jika korban membuka file tersebut di Notepad Windows 11 versi 11.2510 atau lebih lama dan melihatnya dalam mode Markdown, tautan akan tampil sebagai link aktif.
Saat pengguna menekan Ctrl+klik pada tautan, program yang dirujuk dapat langsung dijalankan tanpa peringatan keamanan tambahan dari Windows.
Inilah yang dikategorikan Microsoft sebagai remote code execution, karena kode berbahaya dapat dijalankan dalam konteks hak akses pengguna yang membuka file tersebut.
Potensi Risiko
Celah ini berpotensi disalahgunakan untuk:
- Menjalankan file dari share jaringan (SMB) tanpa peringatan
- Memicu instalasi aplikasi berbahaya
- Mengeksekusi program lokal yang sudah ditempatkan sebelumnya
Karena eksekusi terjadi dalam konteks pengguna aktif, tingkat dampaknya bergantung pada hak akses akun tersebut.
Perbaikan oleh Microsoft
Microsoft kini menambahkan peringatan keamanan ketika pengguna mengklik tautan dengan protokol selain http:// atau https://.
Jika pengguna mencoba membuka URI seperti file:, ms-settings:, ms-appinstaller:, mailto:, atau ms-search:, Notepad akan menampilkan dialog konfirmasi sebelum melanjutkan.
Meski demikian, masih ada potensi rekayasa sosial jika pengguna tetap menekan tombol konfirmasi.
Pembaruan Otomatis via Microsoft Store
Notepad Windows 11 diperbarui melalui Microsoft Store secara otomatis. Dengan demikian, sebagian besar pengguna kemungkinan sudah menerima patch tanpa perlu tindakan manual.
Kasus ini menjadi perhatian karena menunjukkan bagaimana fitur modernisasi aplikasi bawaan Windows dapat membuka permukaan serangan baru jika validasi input tidak dirancang secara ketat.