メモ帳でコード実行が起きるのですか?
- コンステラ
- 2月13日
- 読了時間: 1分
A. 条件がそろうとコード実行につながる可能性があります。
対象は、Windows標準のメモ帳アプリ(notepad.exe)です。
2026年2月のMicrosoftの更新で、このアプリに関する脆弱性が扱われました。
攻撃者は、ユーザを誘導してメモ帳で開いたMarkdownファイル内の悪意あるリンクをクリックさせ、未検証のプロトコルを起動させてリモートファイルの読み込みや実行につなげる可能性があります。
言い換えると、Markdownファイルを開く際の不適切な無効化、いわゆる「コマンド インジェクション」によって、権限のない攻撃者がネットワーク経由でコードを実行できるようになる内容です。
細工されたテキストファイルをClickFixなどの手法で開かせることで、被害者の手元でローカルやリモートの任意コマンドが実行され得るとされています。
この脆弱性への対策はすでに提供されており、更新を適用すれば問題そのものは解消されます。