Windows Not Defteri uygulamasında uzaktan kod çalıştırma açığı: CVE-2026-20841

 (cve.org)
4 puan yazan GN⁺ 2026-02-12 | 7 yorum | WhatsApp'ta paylaş
  • Windows Not Defteri uygulamasında komut enjeksiyonu (command injection) açığı tespit edildiği ve bunun uzaktan kod çalıştırmaya imkan verebildiği bildirildi
  • Kimliği doğrulanmamış saldırganların ağ üzerinden kötü amaçlı komutlar çalıştırabildiği bir yapı söz konusu; ancak kullanıcı etkileşimi gerekiyor
  • Açık, Windows Notepad sürüm 11.0.0'dan 11.2510'dan önceki sürümlere kadar etkiliyor
  • CVSS 3.1 puanı 8.8 (Yüksek) olarak değerlendirildi ve gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiye sahip
  • Microsoft, açığı CVE-2026-20841 olarak kaydetti; güvenlik yaması ve tavsiye metni MSRC (Microsoft Security Response Center) üzerinden sunuluyor

CVE-2026-20841 genel bakış

  • Bu açık, Windows Notepad App içinde ortaya çıkan bir komut enjeksiyonu açığı (CWE-77) olarak sınıflandırılıyor
    • Özel karakterlerin yetersiz şekilde etkisizleştirilmesi nedeniyle komutlar manipüle edilebiliyor
    • Saldırganlar ağ üzerinden uzaktan kod çalıştırma gerçekleştirebiliyor
  • CNA (resmi kayıt kurumu) Microsoft Corporation ve CVE 10 Şubat 2026'da yayımlandı, 11 Şubat'ta güncellendi

Teknik ayrıntılar

  • Açık türü: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • Etkilenen kapsam: Windows Notepad 11.0.0 ve üzeri, 11.2510'dan düşük sürümler
  • CVSS 3.1 değerlendirmesi:
    • Puan: 8.8 (High)
    • Vektör: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • Ağ üzerinden erişilebilir, düşük karmaşıklıkta, kullanıcı etkileşimi gerektiriyor

Etki ve risk seviyesi

  • Saldırganlar kimlik doğrulaması olmadan uzaktan kod çalıştırabiliyor
  • Sistemin gizliliği (C), bütünlüğü (I) ve kullanılabilirliği (A) yüksek düzeyde etkileniyor
  • Açığın temel durumu “affected” olarak işaretlenmiş ve etkilenen sürümler açıkça belirtilmiş

Referanslar ve alınacak önlemler

  • Microsoft'un resmi güvenlik tavsiyesi MSRC Update Guide üzerinden sunuluyor
  • CVE programı açık hakkında ek bilgiler içeriyor ve CISA-ADP onaylı veri yayımlayıcısı olarak belirtiliyor
  • İlgili harici referanslar arasında Hacker News gönderisi (https://news.ycombinator.com/item?id=46971516) de yer alıyor

Özet

  • CVE-2026-20841, Windows Not Defteri uygulamasındaki uzaktan kod çalıştırma açığı olup yüksek ciddiyette (8.8 puan) bir güvenlik sorunu
  • Microsoft açığı resmi olarak kaydetti ve yama sürecini yürütüyor; kullanıcıların en güncel sürüme geçmesi gerekiyor
  • Bu açık, komut enjeksiyonu yoluyla saldırı ihtimali barındırıyor ve ağ tabanlı saldırılara açık olabilir

İlgili okumalar

7 yorum

 
jwh926 2026-02-12

microslop.
 
mammal 2026-02-12

Lütfen OS ve tarayıcı gibi temel kısımlar, cloud / AI / entegrasyon gibi bu çöpler olmadan yalnızca temel işlevleri sunsun.

Vendor özellikleri bunun üstünde bir katman olarak sunulsa da fazlasıyla yeterli olurdu...
 
GN⁺ 2026-02-12
Hacker News yorumları

  • 2025 hissedar raporuna bakınca, Windows gelir kaynakları sıralamasında 5. sırada, hatta LinkedIn’in de altında görünüyor
    Artık Microsoft’un Windows ya da Notepad’i pek umursamadığı hissine kapılıyorum

    • Windows onlar için adeta bir Truva atı
    • Raporda gelirler üç kategoriye ayrılmış — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — Windows sadece üçüncü grubun bir parçası. Bu durumda nasıl 5. sırada olduğu sonucuna varıldığını merak ediyorum
    • Microsoft yakında tamamen Windows’un kendisi olacak. Office’in bir sürü alternatifi var, yapay zeka modelleri yok, Github güven vermiyor, Azure berbat, Xbox çöktü. Windows ölürse onun üzerine kurulu her şey de birlikte yok olur

  • Meselenin özü bağlantı işleme
    CVE-2026-20841’e göre, saldırgan birini Markdown dosyasındaki kötü niyetli bir bağlantıya tıklatmayı başarırsa, Notepad doğrulanmamış bir protokolü çalıştırıp uzak bir dosyayı çağırabiliyor

    • Notepad’in bağlantı işlemesi, sanki kurşun kalemde mürekkep yükleme açığı varmış gibi hissettiriyor. Eski “Microsoft araba yapsaydı” şakası gerçeğe dönmüş gibi (ilgili bağlantı)
    • Bunun gerçekten büyük bir sorun olup olmadığından emin değilim. Tıklanabilir bağlantı gösteren her uygulamada—tarayıcılar ya da e-posta istemcileri gibi—olabilecek türden bir şey değil mi?
    • “unverified protocols” tam olarak ne demek, merak ediyorum. Windows’ta exe:// gibi doğrudan çalıştırılabilir dosya açan bir URL şeması mı var?

  • Bir ara Windows 98 Notepad’i bulup Windows 11’de çalıştırmayı denemiştim ve kusursuz çalışıyordu. Metin girişi, kaydetme, yükleme hepsi çalışıyor. İnsan daha ne isteyebilir ki? Üstelik yazı tipi de nostaljik hissettiriyor

    • Win9x Notepad yalnızca 64KB’a kadar dosya açabiliyor ve sadece ANSI kodlamasını destekliyor. Sonraki sürümlerde LF desteği gibi faydalı iyileştirmeler geldi ama Windows 11’deki ek özelliklerin hepsi tamamen gereksiz yük
    • Ben Windows 7’den notepad.exe, calc.exe, mspaint.exe dosyalarını çıkarıp Windows 11’de kullanıyorum. Mükemmel çalışıyorlar
    • “About Notepad” penceresinde Windows 11 sürümünün görünmesinin nedeni, programın sistem sürümünü göstermek için Windows API’yi çağırması
    • Aslında Windows 11’de eski notepad.exe hâlâ duruyor. Sadece çalıştırıldığında yeni uygulamaya yönlendiriliyor. Ayarlardaki “App execution aliases” seçeneğini kapatırsanız eski Notepad’i olduğu gibi kullanabilirsiniz
    • O sürümde Copilot 365 için Notepad Copilot nasıl kullanılıyor, merak ediyorum

  • Birkaç gün önce Notepad++ devlet destekli bir saldırgan tarafından ele geçirildi, bugün de Windows’un yerleşik Notepad’i için bir CVE çıktı. Sanırım artık Windows’u tamamen silmenin zamanı geldi. Sandbox yok, miras kod yığını var

    • Teknik olarak bakarsak Unix türevleri de miras yükü taşıyor ama Windows düpedüz bir çöp dağı
    • Notepad++ olayı, Çin bağlantılı bir saldırı grubunun barındırma sağlayıcısını ele geçirmesiydi. Güncelleme doğrulaması da iyileştirildi, scoop gibi alternatifler de var. Saldırı çok sınırlıydı ve IOC’ler zaten yayımlandı
    • Gerçek ihlal birkaç gün önce değil, aylar önce yaşandı ve haftalarca sürdü
    • Ben Notepad yerine Windows için gvim kullanıyorum. Eklenti olmadan da fazlasıyla yeterli
    • Geriye bir tek fare simgesi RCE kaldı. O zaman gerçekten zirveye ulaşmış oluruz

  • Artık özellik şişkinliği → güvenlik açığı hattının mantıksal sonuna gelmiş bulunuyoruz
    30 yıl boyunca Notepad basit bir metin görüntüleyicinin standardıydı, şimdi ise 8.8 CVSS puanı alıyor; bu, en az ayrıcalık ilkesinin çöküşü demek. Sorulması gereken “bu özelliği ekleyebilir miyiz?” değil, “bu metin düzenleyicisinin ağ tabanlı bir render yığınına ihtiyacı var mı?” olmalı

    • Orada da durmayıp “yapay zekaya ihtiyacı var mı?” diye sordular ve yanlış cevap verdiler
    • Tabii geçmişte de Notepad’de “Bush hid the facts” gibi absürt hatalar vardı. O zamanlar mesele Unicode ve kodlamanın zorluğuydu, şimdi ise başka bir savaş veriyoruz
    • Buna tamamen katılıyorum. Ağ yığını olan bir metin düzenleyici güvenlik açıkları için üreme alanıdır. Bu yüzden Rust ile yalnızca yerel çalışan bir metin düzenleyici yazdım. Ağ izni yok, şifreli kayıt var, FIPS uyumlu OpenSSL kullanıyor. FIPSPad’den bakabilirsiniz
    • Ama bu hata ağ render yığınıyla ya da yapay zekayla ilgili görünmüyor. MSRC’ye göre sorun, saldırganın Markdown dosyasındaki bir bağlantıya tıklatıp uzak bir dosyayı çalıştırabilmesi. Örneğin \\evil.example\virus.exe gibi bir bağlantıya tıklanınca çalışması gibi
    • Sorun şu ki, Microsoft’un ağ render yığını eklediğinin farkında olup olmadığını bile merak ediyorum

  • Komik olan, tarayıcıların çok uzun zaman önce protokol çalıştırmadan önce kullanıcı uyarısı eklemiş olması; Microsoft ise Notepad’e tıklanabilir bağlantılar eklerken bunu tamamen atlamış. Sorun özellik fazlalığı değil, zaten çözülmüş bir problemi yeniden icat edip güvenlik önlemlerini atlamak

  • “Markdown dosyasındaki kötü niyetli bir bağlantıya tıklayınca uzak dosya çalıştırılıyor” kısmını görünce şaşırdım. Notepad’in Markdown render ettiğini bilmiyordum

    • Notepad başka formatları da render etmeye başlarsa, benim Notepad kullanma nedenim—yani biçim temizleme aracı olarak saflığı—ortadan kalkar. Notepad’in büyüsü, pazarlama ekibinin biçimlendirmelerini umursamayan o sadeliğindeydi
    • Muhtemelen yakın zamanda eklenmiş bir özellik. Her gün kullanıyorum ve Markdown render etmeyi ilk kez geçen hafta gördüm
    • “Moraller yükselene kadar dayak sürecek” sözü aklıma geldi

  • Notepad’in sadece metin gösteren bir araç olduğu eski günleri özlüyorum

    • Bu yüzden ben Notepad2 kullanıyorum. Eski Notepad LF satır sonlarını düzgün gösteremiyordu, Notepad2 ise biraz daha özellikli olmasına rağmen hâlâ hafif ve temiz
    • Eski XP zamanlarında Metapad gibi alternatifler daha iyiydi

  • Artık Windows’un kendisini bırakma zamanı geldi

    • Şaka değil, bu yıl “Windows çok kötüleştiği için” Linux’a geçen insanlar ciddi biçimde arttı. Ben de geçen yıl öyle yaptım. On yıllarca “idare eder” denilen şey şimdi “bu artık çekilmez” noktasına geldi

  • Notepad’in işi yalnızca metin göstermekti, Microsoft ise ona saldırı yüzeyi ekledi.
    “Linux masaüstünün yılı”nın gelmesine bile gerek yok — Windows böyle devam ederse bu tek başına yeter

    • Ama gerçekte sıradaki dönem büyük ihtimalle Mac OS çağı olacak. M serisi çipler alt segmentte de yayılınca herkes oraya geçer
 
savvykang 2026-02-12

Windows 11’e zorla yükselttikten sonra Not Defteri içeriği bazen bozuluyordu; belli ki MS hâlâ aklını başına toplamamış.
 
sudosudo 2026-02-12

Not Defteri'ni artık kurcalamayı bırakın..
 
kayws426 2026-02-12

“Bush hid the facts” gibi absürt bir bug
eski günleri hatırlatıyor.
 
ssolarsystem 2026-02-12

WordPad kaldırılınca, kelime işlemciye koymak için biraz garip kalan biçimli metinleri Markdown’a koymaya başladılar herhalde; olay da buradan çıkmış gibi görünüyor. Ayarlara girip AI ve biçimlendirme özelliklerini tamamen kapatmanın güvenlik açısından daha iyi olabileceğini düşünüyorum.