گاهی دردسر از سادهترین جا شروع میشود: یک فایل مارکداون که بیسروصدا در نوتپد ویندوز ۱۱ بازش میکنید، چشمتان به یک لینک میافتد و با یک کلیکِ معمولی، مسیر برای حمله باز میشود. دقیقاً همین سناریو پای یک آسیبپذیری تازه در نوتپد را وسط کشیده بود؛ باگی که میتوانست کاربر را به کلیک روی لینک مخرب داخل فایل Markdown ترغیب کند و ماجرا را تا اجرای کد از راه دور جلو ببرد.
مایکروسافت در وصلههای امنیتی سهشنبه خودش اعلام کرد این نقص امنیتی را برطرف کرده؛ نقصی که طبق توضیحات، مهاجم میتوانست با فریب کاربر و کشاندن او به کلیک روی یک لینک درون فایل مارکداونِ بازشده در Notepad، زنجیره حمله را فعال کند. در گزارشهای قبلی هم اشاره شده بود که چنین حملهای میتواند به اجرای کد از راه دور (Remote Code Execution) ختم شود؛ همان نوع حملهای که امنیتکارها از شنیدن نامش هم اخم میکنند.
نکته کلیدی اینجاست: با کلیک روی لینک، «پروتکلهای تأییدنشدۀ» سیستم فراخوانی میشدند؛ یعنی در عمل راهی فراهم میشد تا فایلهای مخرب از راه دور روی دستگاه قربانی بارگذاری و اجرا شوند. این مورد در یادداشتهای وصله (Patch Notes) هم با صراحت آمده و مایکروسافت آن را با شناسه CVE-2026-20841 ثبت کرده است.
مایکروسافت میگوید فعلاً نشانهای از سوءاستفاده واقعی از این آسیبپذیری «در دنیای واقعی» دیده نشده؛ اما همین که مسیر حمله قابل تصور و قابل تکرار بوده، برای انتشار وصله کافی است. از آن دسته باگهاست که تا وقتی روی کاغذ است، باید جدی گرفته شود؛ چون معمولاً فاصله «روی کاغذ» تا «داخل کمپینهای واقعی» خیلی کوتاهتر از چیزی است که کاربران فکر میکنند.
این ماجرا یک پسزمینه هم دارد: مایکروسافت از ماه مه سال گذشته پشتیبانی از Markdown را به نوتپدِ ویندوز ۱۱ اضافه کرد؛ قابلیت جذابی برای خیلیها، بهخصوص کسانی که با مستندات، یادداشتهای فنی و متنهای قالببندیشده سر و کار دارند. اما همان زمان هم موجی از انتقاد بالا گرفت؛ اینکه ویندوز دارد با قابلیتهای جدید، ابزارهای جانبی و حتی ردپای هوش مصنوعی در اپهایی مثل Notepad و Paint «سنگینتر» میشود و به سمت چیزی شبیه بloatware میرود.
حالا منتقدان میگویند همین قابلیتهای بهظاهر کوچک، اگر خوب مهار نشوند، میتوانند سطح حمله را بزرگتر کنند. حق هم دارند: هر وقت یک اپ ساده مثل ویرایشگر متن شروع میکند به «فهمیدن لینک» و «تعامل با پروتکلها»، داستان امنیت دیگر مثل قبل ساده نیست.
از طرف دیگر، نوتپد تنها ویرایشگر متنی نیست که این روزها اسمش کنار هشدار امنیتی میآید. Notepad++ هم اخیراً اعلام کرد برخی کاربران ممکن است بهجای بهروزرسانی سالم، یک آپدیت آلوده دانلود کرده باشند؛ رخدادی که گزارشها آن را به مهاجمان منتسب به دولت چین گره میزنند. پیام مشترک هر دو اتفاق روشن است: حتی ابزارهای «متنی» هم دیگر معصوم نیستند.
اگر با فایلهای Markdown زیاد کار میکنید، بهترین کار این است که سیستم را بهروز نگه دارید و هر لینکی را، حتی در یک فایل ساده، مثل یک ایمیل ناشناس ببینید: شاید بیخطر باشد، شاید هم همان کلیکِ کوتاه، بلندترین اشتباه روزتان شود.
