ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ร้ายแรงใน Notepad เสี่ยงถูกยึดเครื่องผ่านไฟล์ Markdown
|

ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ร้ายแรงใน Notepad เสี่ยงถูกยึดเครื่องผ่านไฟล์ Markdown

ByThanakarn Juicharoen

ไมโครซอฟท์ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในแอป Notepad บน Windows ซึ่งอาจเปิดโอกาสให้แฮกเกอร์รันโค้ดอันตรายจากระยะไกลและยึดเครื่องของเหยื่อได้หากผู้ใช้เปิดไฟล์ที่ถูกสร้างมาเจาะระบบและคลิกลิงก์ภายในไฟล์ดังกล่าว

ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2026-20841 จัดเป็นช่องโหว่แบบ Remote Code Execution (RCE) ในแอป Windows Notepad เวอร์ชันใหม่ที่เผยแพร่ผ่าน Microsoft Store โดยปัญหาเกิดจากการที่แอปจัดการอักขระพิเศษในคำสั่งบางอย่างได้ไม่ดีเพียงพอ โดยเฉพาะเมื่อทำงานกับไฟล์ Markdown นามสกุล .md

ตามข้อมูลจาก Microsoft Security Update Guide ผู้โจมตีสามารถสร้างไฟล์ Markdown ที่มีลิงก์ซึ่งถูกออกแบบเป็นพิเศษให้กระตุ้นการทำงานของสคริปต์ เมื่อเหยื่อเปิดไฟล์ใน Notepad และคลิกลิงก์ดังกล่าว สคริปต์อาจถูกเรียกใช้เพื่อดาวน์โหลดและรันโค้ดอันตรายบนเครื่องของเหยื่อได้ และหากการโจมตีสำเร็จ ผู้โจมตีอาจได้สิทธิ์ควบคุมเครื่องและสิทธิ์การใช้งานทั้งหมดของผู้ใช้เป้าหมาย

Notepad Patch

ช่องโหว่นี้มีคะแนนความรุนแรงฐานตามมาตร CVSS v3.1 ที่ 8.8 จัดอยู่ในระดับสูง ขณะที่ไมโครซอฟท์ให้ระดับความรุนแรงสูงสุดเป็น “Important” อย่างไรก็ตาม ขณะปล่อยแพตช์ยังไม่มีรายงานการโจมตีจริงในวงกว้างหรือโค้ดโจมตีที่ถูกเผยแพร่สู่สาธารณะ

ไมโครซอฟท์ได้รวมแพตช์แก้ไขข้อบกพร่องนี้ไว้ในชุดอัปเดตความปลอดภัยรอบ Patch Tuesday ประจำเดือนกุมภาพันธ์ 2026 ซึ่งปล่อยเมื่อวันที่ 10 กุมภาพันธ์ 2026 โดยแนะนำให้ผู้ใช้ติดตั้งอัปเดต Windows ล่าสุดพร้อมทั้งอัปเดตแอป Notepad ให้เป็นเวอร์ชันใหม่เพื่อความปลอดภัยสูงสุด

การค้นพบช่องโหว่นี้ทำให้เกิดกระแสตั้งคำถามจากผู้ใช้บางส่วนเกี่ยวกับการที่ไมโครซอฟท์เพิ่มความสามารถด้านเครือข่ายให้กับ Notepad ซึ่งเดิมควรเป็นเพียงโปรแกรมแก้ไขข้อความธรรมดาที่ไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตตลอดเวลา อย่างไรก็ดี การเชื่อมต่อเครือข่ายของ Notepad กลายเป็นข้อกำหนดสำคัญเพื่อรองรับการทำงานของ Copilot ที่ถูกผนวกเข้าในแอป แม้จะยังมีข้อถกเถียงว่าคุณสมบัตินี้จำเป็นจริงหรือไม่ในโปรแกรมจดบันทึกพื้นฐานเช่นนี้

ผู้ดูแลระบบและผู้ใช้ทั่วไปสามารถตรวจสอบรายละเอียดแพตช์และข้อมูลทางเทคนิคเพิ่มเติมของช่องโหว่ CVE-2026-20841 ได้จากหน้าความปลอดภัยของไมโครซอฟท์ซึ่งมีเอกสารอธิบายผลกระทบและเวอร์ชันที่ได้รับการแก้ไขอย่างชัดเจน

ข้อมูล: Neowin.net, Microsoft