Microsoft confirma falha de segurança 8.8 no Notepad do Windows 11 e lança correção no Patch Tuesday

 A Microsoft confirmou recentemente um problema de segurança grave no Notepad moderno do Windows 11, que recebeu uma classificação de severidade 8.8 em 10 pela escala CVSS, um dos indicadores mais altos para vulnerabilidades que podem representar riscos reais aos usuários. Essa falha foi identificada como CVE-2026-20841 e aproveita um recurso recente do Notepad que muitos usuários provavelmente nem sabiam que existia.

Essa vulnerabilidade está relacionada com a forma como o Notepad processa arquivos em Markdown, um formato de texto que permite links e formatação leve. Em versões mais recentes do aplicativo, o Markdown pode gerar links clicáveis, o que por si só facilita a leitura e edição de documentos. No entanto, esse avanço trouxe consigo um novo vetor de ataque.

De acordo com a Microsoft, o bug ocorre porque o Notepad não neutralizava corretamente certos elementos dentro de um link em Markdown. Isso significa que um atacante poderia enviar um arquivo especialmente criado para um usuário, por e-mail, mensagem ou download, e fazer com que o Notepad execute código malicioso se o usuário abrisse o arquivo e clicasse no link. A execução ocorreria com os mesmos privilégios do usuário que abriu o arquivo, o que pode ser perigoso, especialmente em contas com permissões administrativas.

Esse tipo de problema é classificado como Remote Code Execution, ou seja, uma falha que permite a terceiros executar comandos remotamente no computador da vítima. A falha se tornou possível justamente porque o Notepad foi modernizado nos últimos anos, ganhando suporte para Markdown, links e integração com serviços como Copilot. Anteriormente, o Notepad era tão simples que não apresentava riscos desse tipo, já que não lidava com conteúdo interativo.

A boa notícia é que a Microsoft já lançou uma correção oficial como parte da atualização mensal de segurança, a conhecida atualizacão Patch Tuesday de fevereiro de 2026. A correção está sendo distribuída automaticamente para sistemas com Windows 11, inclusive as versões modernas do Notepad que receberam suporte a Markdown e links clicáveis.

A gigante de software afirma que, até o momento, não há evidências de que essa falha tenha sido explorada ativamente por hackers no mundo real. Ainda assim, o simples fato de ela poder ser ativada com um único clique dentro de um arquivo aparentemente inofensivo torna esse tipo de vulnerabilidade importante e preocupante.

Esse episódio reforça uma lição simples: mesmo recursos aparentemente inocentes, como a habilidade de clicar em um link dentro do Notepad, podem criar superfícies de ataque inesperadas quando combinados com lógica complexa de processamento de conteúdo. E também sublinha a importância de manter o sistema e aplicativos sempre atualizados, especialmente quando falhas de segurança com notas elevadas são corrigidas em atualizações automáticas.