PCWorld报道称,Windows记事本新增的Markdown支持功能引入了一个严重的远程代码执行漏洞,其通用漏洞评分系统(CVSS)评分高达8.8/7.7。该安全漏洞允许恶意Markdown文件在打开时下载并执行外部代码,不过它需要用户交互和社会工程学手段才能触发。微软目前尚未提供此漏洞的解决方案,建议用户避免从未知来源下载文件以防潜在攻击。
我不得不冒着“老古董对着云朵咆哮”的风险说一句,还记得记事本曾经是最基础的文本编辑器吗?正因如此,一些程序员和作家喜欢这个程序——它包含在Windows的每一个版本(以及更早的系统)中。但自从微软停用写字板后,就一直在扩展记事本的功能……如今记事本已经复杂到足以支持远程代码执行了。真“棒”。
对于不熟悉的人来说,远程代码执行是一种安全漏洞,允许在用户不知情或未授权的情况下加载并运行外部程序。这种攻击本不该在一个超级基础的文本编辑器上发生。但随着记事本添加了大量新功能——甚至包括通过Copilot集成“人工智能”——它变得比以往脆弱得多。最新的问题源于记事本对Markdown(一种基础格式化系统)的支持,该功能于2025年7月添加。
微软自身在一份安全公告中强调了这一新问题。情况是这样的:用户下载一个内含Markdown格式文本的文件,然后用记事本打开它。由于支持Markdown,文件中会出现一个带有网页标准高亮显示的链接。大多数用户会认为这个链接指向一个网站……但它也有可能启动远程代码下载,而这在仅仅一年前记事本还无法做到。随后,远程代码将以与Windows用户相同的权限级别被激活。
该问题获得了标准化的CVSS评分8.8/7.7,对微软而言是一个高度安全问题,且目前尚无解决方案。幸运的是,它需要单独的文件下载和非常刻意的用户交互,因此实际执行攻击需要一些功夫。(为了达到最佳效果,还需要结合一些社会工程学和欺骗手段。)那句老生常谈的“不要从未知来源下载任何东西”的建议在这里依然适用。
这是旧版记事本所没有的问题。但这里我必须提一下,仅仅因为你使用一个不那么“现代”的替代品,并不意味着你就完全安全。例如,Notepad++(一个非微软的开源程序,几十年来深受高级用户欢迎)最近就因其应用程序更新服务器遭受定向攻击而受到威胁。
