Távoli kódfuttatást lehetővé tevő biztonsági sebezhetőség a ... Notepad-ban ...

Microsoft, Windows

Amikor olvastam, arra gondoltam, hogy nagyon messze van még április elseje, hogy ilyen korán kezdjék ... de kiderült: nem vicc. A Microsoft olyan szintre tolta a kretént, hogy a Notepad-ban (tudod, a hosszú évtizedeken keresztül a bare minimum-ot kínáló editor, amitől - valljuk be - nem is vártunk többet, mint hogy erőforrás-takarékosan tudjunk mondjuk konfig fájlokat editálni) távoli kódfuttatást lehetővé tevő biztonsági sebezhetőséget sikerült összehozni. Hogyan? Hát úgy, hogy a notapad.exe már nem csak egy minimum editor, hanem egy ideje Copilot-integrált izé. Miért baj ez? Mert egyébként, a Notepad-nak egy olyan editornak kellett volna maradnia, aminek tudnia sem kellett volna arról, hogy az internet létezik ...  

CVE-2026-20841 🤦‍♂️  

Én inkább úgy gondolnám, hogy Úgybuzgó Pistike redmondi kóder egy kis bónusz reményében meghúzogatta a főnöke ingujját, hogy 

- Főni, Főni! Mi lenne, ha beletenném a Notepad-ba is azt a funkciót, amit már egyszer lefejlesztettünk az Office-hoz? Fent azt hinnék, hogy rohadt sokat dolgozunk, mi meg csak copy&paste beledrótozzuk! 

- Úh, Pistike, nem véletlen vagy te a jobb kezem! Délre legyen kész! 

trey @ gépház

Kihagytad a történet második felét. Steve megírta a prompot, az AI lefejlesztette, a másik engedélyezte az MR-t,  a harmadik kinyomta a prodba, a világ meg jól megszívta. 

A kicsiben mindig ott az egész - ez az AI támogatott szoftverfejlesztés és annak minőségének tökéletes sűrítménye.

( gelei v | 2026. 02. 12., cs – 09:49 )

Hát úgy, hogy a notapad.exe már nem csak egy minimum editor, hanem egy ideje Copilot-integrált izé.

Mi? Ez komoly? :D

Mi a fasz, alig egy éve, hogy nincs egyáltalán windows-os gépem, azóta ennyit fejlődött a tudomány? :D

( Fisher v | 2026. 02. 12., cs – 09:49 )

Nem komoly fejlesztés az, aminek még CVE-je sincs.

( kleinie | 2026. 02. 12., cs – 11:05 )

Tényleg a Microsoft hozza el a Linux desktop évét! Itt most nem csak a notepad-ra gondolok. Ezzel az AI szarsággal teljesen szétcseszték az amúgy is foshalmaz operációs rendszerüket.

Make it as simple as possible, but not simpler. - A. Einstein

( n.balazs v | 2026. 02. 12., cs – 11:29 )

Az AI (Copilot) lesz a Microsoft harakirije?

Van annak egy diszkrét bája, ahogy a Microsoft képes a jó dolgokat is tönkre vágni. "Zseniális".

( summoner v | 2026. 02. 12., cs – 12:20 )

Legalább memory safe a backdoor? ... Akkor most mit izéltek? Nem cve vulnerability ez, hanem feature! :D

( SkyNET | 2026. 02. 12., cs – 12:52 )

nem látok más megoldást mint újraírni rustban

( Sanya v | 2026. 02. 12., cs – 13:45 )

A notepad++-t meg a kínaiak nyomták fel az update szerver oldalról.

De ott a probléma nem a notepad++-ban volt, hanem a tárhelyen.

https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/

A Notepad++ hivatalos weboldala és frissítési szervere közötti forgalmat térítették el.

Csak bizonyos célpontoknak (főleg kormányzati és kritikus infrastruktúra dolgozóinak) küldtek kártékony frissítést.

És javítva lett.

( zrubi v | 2026. 02. 12., cs – 16:34 )

Régen volt már ennyire aktuális ez a 'szlogen':

Microsoft, mert megérdemled!

zrubi.hu

( KoGa v | 2026. 02. 12., cs – 16:43 )

Oh, most megtudtam hogy van benne Copilot. Még jó, hogy ki lehet kapcsolni.

( nagyjoco | 2026. 02. 13., p – 09:30 )

Nos, az AI kezelésbe vette a notepad forráskódját is. Majd amikor a Windows  maga lesz átíratva vele Rustba, havi 1 millió sor/porgramozó elvárt sebességgel, az lesz az igazán tuti. 
 

( bodobacs | 2026. 02. 13., p – 19:10 )

Mostanában sokszor hallom, olvasom azt hogy "editál", "edukál". Ez ugye el fog múlni? Ennél jobban csak az "oltakozást" vetem meg.

Ráadásul azért használjuk, mert az editor (angolul: editor) és a szövegszerkesztő (angolul: word processor) két állatfaj. Egyikkel editálunk, másikkal szöveget szerkesztünk. Jó, titkárnő Jolán ezt nem érti. Aki viszont használt valaha egyszer is ed-et, vi-t, meg mondjuk Office-t vagy LibreOffice-t, az pontosan tudja, hogy mi az editálás és a szövegszerkesztés közti különbség. 

Régi szép idők, amikor még olyan közönsége volt a HUP-nak, amelyik a kedvenc editor és kedvenc szövegszerkesztőt két külön kategóriába sorolta a HOVD-on! :D :D :D 

Tényleg hígul ...  

trey @ gépház

Nem téveszti össze, de amit editornak hív az text editor, vagy plain text editor. Ez az, ami plain textet szerkeszt, mindenféle formázás, betűtípusok, grafikus kimenet, stb. nélkül, ed, vi, vim, nano, micro, joe, mcedit, helix, kakoune, stb., de ide tartozik sok IDE is. Aztán van a word processor, ami tud formázást is, általában grafikus megjelenítést is (bár ez nem követelmény), ilyen a Word, LibreOffice Writer, stb.. Mind a kettőt összemossuk magyarul, mikor szövegszerkesztőnek hívjuk őket. Ezektől van még külön a desktop publishing (DTP), ami meg nyomdai kiadásra, és nyomdai igényességű tördelésre van, ez általában sokkal többet tud, mint egy word processzor.

Vannak azonban határesetek. Pl. CP/M-es Wordstar, DOS-os ChiWriter, ConText, Wordperfect, unixos GNU Emacs például nem sorolható be egyértelműen, mert ugyan plain text editornak indulnak, de tudnak formázást, grafikus kimenetet, eltérő betűtípusokat kezelni (Emacs-nek csak a GUI-ja tudja). De pl. a LibreOffice Writer is kezd már félig átcsúszni a DTP területre, annyira sok formázási lehetőséget tud.

Én még a text editor kategóriát is tovább bontom, és azon belül megkülönböztetek ún. text processorokat, amelyek különválasztják a szöveg beírását, bevitelét, és annak szerkesztését, emiatt más logikával kell szerkeszteni velük a szöveget, ilyenek az ed, sed, ex, vi/vim, és úgy általában a több módos (modal) text editorok. A GNU Emacs ebben is átmenet.

Természetesen plain text editorben is lehet formázni, de nem közvetlenül, és nem azonnal ábrázolhatóan, pl. címkék (tag) hozzáadásával, pl. troff/groff, (La)TeX, ConTeXt, Typst, HTML, markdown, stb. segítségével. A Wordperfect itt határeset, mert valóban címkéket szúrt be, de meg lehetett őket közvetlen formázásként is jeleníteni.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

Annyi pontosítást beleokoskodnék, hogy az echo parancs is alkalmas kiadványszerkesztésre, echo "\documentclass{minimal}\begin{document}Lorem ipsum\end{document}" | pdflatex -j=tmp && lpr tmp.pdf módon. :-)

Ennél egy fokkal kevésbé betegebb dolgot élesben is művelek, .rtf doksit rakok össze bash kódból, ami miután átkerült a szomszéd rendszerbe, minden további nélkül mehet a nyomtatóra, és megnyitva is Word doksinak tűnik.

A text alapú formátumoknál a különbség az, hogy WYSIWYG -e a szerkesztő, vagy nem.

A bináris formátumoknál persze lehetne hexaeditorral szerkeszteni a szöveget/kiadványt, de az már női munka... :-)

Form follows function.

A bináris az más, azt sose hívta senki se text editornak, se szövegszerkesztőnek. Azok általában hex editor kategóriában futnak, egy ideje a bvi-t használom erre.

A WXSWYG az valóban egy fontos vízválasztó, hogy az adott formázás azonnal látszik-e, vagy külön extra renderelést igényel (pl. La(TeX), de a LyX pl. ebben átmenet.

Szövegszerkesztésre, kiadványszerkesztésre valóban alkalmas az echo és a cat < akármi | konstruckió is, de az eléggé favágó.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

Igen, ez engem is zavarni szokott. Nálam a könyvtár az a directroy/folder. A libraryt inkább függvénytárnak kéne ebben a kontextusban fordítani, bár a szó szerintije valóban könyvtár, de itt nyilván nem úgy értjük, hogy egy intézmény, valódi könyvekkel. Igazéból ez a könyvtározás elavult már, eredetileg a directoryt nem ennek, hanem jegyzéknek kellett volna magyarítani, de a mappa valóban jobban visszaadja a lényeget. Esetleg katalógusnak, ami pedig párhuzamot von a korábbi oprendszerek cat parancsával, ami nem a unixos concatenate, hanem a catalog rövidítése, és mappákat, fájlokat listáz.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

( influencer | 2026. 02. 13., p – 23:34 )

Ez azért derült ki, mert még van, aki érti. Lehet egy idő után ugyanez lesz, csak nem lesz, aki észlelje a gondot és publikálja.

Linus után lehet elég pár év, hogy a Linux kernelben is legyen Copilot, mert hát mi baj lehet abból? :-)

( Raynes v | 2026. 02. 15., v – 11:30 )

Ezt pont a minimalizmus fontosságát példázza, amit mindig írok. Ahogy egy szoftverbe egyre több funkciót gyömöszölnek bele, úgy nem csak nagyobb kódméretűvé, bloatabbá válik, de egyre több lesz benne a biztonsági rés, és a kód karbantarthatósága, továbbfejleszthetősége is egyre nehezebb, költségesebb, időigényesebb. Egyre több programozó kell, erősebb hardver vagy több idő a buildre, tesztelésre, debugolásra.

Ezt már a nagy unixos öregek, meg a suckless project, OpenBSD-sek, és sokan mások is felfedezték. Ha egy program minimalista, akkor a biztonsági rések száma is erősen konvergál a 0-hoz, hiszen a kód annyira szög egyszerű, annyira rövid, hogy nem lehet benne visszaélési pontot találni. Magyarán ha a Notepadet meghagyták volna plain text editornak, akkor ez most nem lenne, de nekik bele kellett gyömöszölni a Markdownt, AI-s funkciókat, annak ez lesz a vége. Ráadásul ez már nem is az első gikszer az új Notepaddel, pár hete belassulásokat okozott. Persze, ez mind javítható, foltozzák, de az újabb kódméretnövelés.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)