Anche le applicazioni più insospettabili possono trasformarsi, improvvisamente, in un potenziale vettore d’attacco; è quanto emerso nelle ultime ore con CVE-2026-20841, una vulnerabilità ad alta gravità individuata nel Blocco Note di Windows 11, che avrebbe potuto consentire l’esecuzione di codice remoto semplicemente inducendo l’utente a cliccare su un link Markdown manipolato.
Microsoft è intervenuta con il Patch Tuesday di febbraio 2026, che include diversi aggiornamenti di sicurezza, chiudendo così una falla che ha ottenuto un punteggio CVSS di 8.8, classificata come Importante (inferiore di poco al livello Critico, ma comunque con un impatto potenzialmente molto serio). Vediamo nel dettaglio cosa è successo, perché il problema è legato alla modernizzazione del Blocco Note e cosa cambia ora per gli utenti.
Come funzionava l’exploit nel Blocco Note di Windows 11 risolto da Microsoft
La vulnerabilità sfruttava il supporto Markdown introdotto nella versione moderna del Blocco Note di Windows 11. Come alcuni di voi ricorderanno, Microsoft ha progressivamente trasformato il software in questione da semplice editor di testo minimale a strumento più evoluto, con supporto ai file .md (Markdown), formattazione del testo, link cliccabili e funzionalità avanzate di editing.
Proprio questa evoluzione ha ampliato la superficie di attacco, un utente poteva creare un file Markdown contenente link malevoli che utilizzavano protocolli popolari come file:// e ms-installer://. Aprendo il Blocco Note (versione 11.2510 o precedenti) e visualizzando in modalità Markdown, il link appariva del tutto normale; con un semplice Ctrl + clic il collegamento veniva eseguito automaticamente, senza che Windows mostrasse all’utente alcun avviso di sicurezza.
Secondo il bollettino di Microsoft, si trattava di una forma di command injection dovuta a una neutralizzazione impropria di elementi speciali utilizzati in un comando. In termini semplici, il sistema non filtrava correttamente determinati URI, permettendo l’esecuzione di codice nel contesto dell’utente che aveva aperto il file; e questo significa, ovviamente, che l’attaccante avrebbe ottenuto gli stessi permessi della vittima.
L’origine del problema è strettamente collegata al percorso di modernizzazione intrapreso da Microsoft con Windows 11. Con l’abbandono di WordPad, l’azienda ha deciso di potenziare il Blocco Note rendendolo più versatile e adatto a scenari moderni, anche in ottica di integrazione con Copilot e con strumenti basati su intelligenza artificiale.
Tuttavia, il supporto Markdown attivo di default su milioni di installazioni ha trasformato un’app storicamente offline e minimale in uno strumento con capacità di interazione più profonda con il sistema operativo. Ed è proprio qui che emerge il nodo centrale: ogni nuova funzionalità aumenta inevitabilmente la superficie di attacco, soprattutto quando coinvolge link cliccabili e protocolli di sistema.
Microsoft ha risolto la vulnerabilità in Windows 11 introducendo un sistema di avvisi di sicurezza aggiuntivi, d’ora in poi, quando l’utente clicca su link che non utilizzano i protocolli standard (http:// e https://), il Blocco Note mostrerà una finestra di dialogo di conferma per URI come file:, ms-settings:, ms-appinstaller:, mailto: e ms-search:.
In pratica, prima di procedere con l’esecuzione, Windows chiederà esplicitamente conferma all’utente. Al momento del rilascio della patch non risultavano exploit pubblici attivamente in circolazione, una buona notizia considerando il potenziale impatto della falla.
Un aspetto particolarmente importante riguarda la distribuzione della correzione, il Blocco Note di Windows 11 viene aggiornato tramite Microsoft Store, quindi la patch dovrebbe essere distribuita automaticamente e rapidamente, senza richiedere interventi manuali da parte degli utenti.
Come spesso ricordiamo, mantenere gli aggiornamenti automatici attivi è fondamentale in casi come questo, molte vulnerabilità vengono infatti sfruttate proprio su sistemi non aggiornati.
Nonostante la correzione, alcuni ricercatori di sicurezza hanno evidenziato un possibile limite: le finestre di avviso possono comunque essere aggirate tramite tecniche di social engeneering. Se un utente viene convinto a cliccare un Sì nella finestra di dialogo, il rischio di esecuzione rimane; in altre parole, la protezione ora c’è, ma dipende anche dal comportamento dell’utente.
La vulnerabilità in questione dimostra come anche componenti apparentemente innocui e storicamente semplici, come il Blocco Note, possano diventare vettori critici quando vengono arricchiti con nuove funzionalità.
Il caso arriva, peraltro, poco dopo la correzione di gennaio 2026 relativa alla vulnerabilità zero-day CVE-2026-20805 nel Desktop Window Manager, che era stata attivamente sfruttata; la frequenza con cui emergono queste problematiche sottolinea ancora una volta quanto sia fondamentale mantenere Windows aggiornato, applicare tempestivamente le patch e prestare attenzione ai file provenienti da fonti sconosciute.
La modernizzazione di Windows 11 continua, ma episodi come questo mostrano chiaramente il prezzo della complessità: ogni nuova funzione, se non gestita con estrema attenzione, può trasformarsi in un punto debole.
La buona notizia è che Microsoft è intervenuta rapidamente e che, grazie agli aggiornamenti automatici, la maggior parte degli utenti dovrebbe essere già protetta, o esserlo a breve.
- Microsoft aggiorna i certificati Secure Boot di Windows
- Windows 11 non parte più? La catena di update che sta facendo impazzire
- Quanti problemi per Windows 11 con il primo aggiornamento del 2026
- Addio all’attivazione telefonica: Microsoft chiude definitivamente le vecchie vie offline per Windows e Office
I nostri contenuti da non perdere:
- 🔝 Importante: Recensione Octopus Energy dopo 2 anni: pro e contro
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo