Scopri anche

• Vulnerabilità critica nel Blocco Note e problemi di riavvio: Windows 11 tra patch urgenti e bug sistemici
• Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati
• Vulnerabilità critica nel Blocco Note di Windows e problemi di sistema risolti
• Apple corregge vulnerabilità zero-day critiche: aggiornamenti urgenti per iOS, macOS e altri sistemi
• Windows 10: Il nuovo aggiornamento KB5073724 e il futuro della sicurezza Microsoft - Edunews24
• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• Analisi della correzione del mercato AI: il calo dell'11% di AMD e il cambiamento di fase del settore
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• Patch Tuesday: Perché Microsoft Rilascia Gli Aggiornamenti Sempre Il Secondo Martedì Del Mese
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Microsoft Azure già pronta per NVIDIA Rubin: infrastruttura progettata anni prima
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• Wikipedia Enterprise: le Big Tech pagano per l'accesso API nell'era dell'AI
• Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno

Blocco Note Windows 11: corretta vulnerabilità critica nei link Markdown

Blocco Note Windows 11: corretta vulnerabilità critica nei link Markdown

Microsoft ha corretto una vulnerabilità classificata come CVE-2026-20841 nel Blocco Note di Windows 11, identificata con un punteggio CVSS di 8.8 e classificata di livello "Importante". La falla permetteva l'esecuzione di codice remoto tramite link Markdown manipolati, senza che il sistema operativo mostrasse alcun avviso di sicurezza all'utente. La correzione è stata distribuita il 10 febbraio 2026 come parte del Patch Tuesday mensile.

Il meccanismo della vulnerabilità

⬆ Torna su

La vulnerabilità sfruttava il supporto Markdown introdotto nella versione moderna del Blocco Note di Windows 11. Un utente poteva creare un file Markdown contenente link malevoli che utilizzavano protocolli come file:// e ms-installer://. Quando l'utente apriva il file nel Blocco Note (versione 11.2510 o precedenti) e visualizzava il documento in modalità Markdown, il link appariva del tutto normale. Con un semplice Ctrl+clic il collegamento veniva eseguito automaticamente, senza che Windows mostrasse alcun avviso di sicurezza.

Secondo il bollettino di Microsoft, si trattava di una forma di command injection (CWE-77) dovuta a una neutralizzazione impropria di elementi speciali utilizzati in un comando. Il sistema non filtrava correttamente determinati URI, permettendo l'esecuzione di codice nel contesto dell'utente che aveva aperto il file. L'attaccante avrebbe ottenuto gli stessi permessi della vittima.

I ricercatori che hanno scoperto la vulnerabilità sono stati identificati come Cristian-Iulian Papa, Alasdair Gorniak (Delta Obscura) e Chen (@chen9918b). La divulgazione pubblica è avvenuta il 10 febbraio 2026. Microsoft ha valutato l'impatto come alto su confidenzialità, integrità e disponibilità, ma con maturità dell'exploit "Unproven" e probabilità di sfruttamento "Less Likely" grazie all'interazione utente richiesta.

Origine del problema nella modernizzazione dell'applicazione

⬆ Torna su

L'origine della vulnerabilità è collegata al percorso di modernizzazione intrapreso da Microsoft con Windows 11. Con l'abbandono di WordPad, l'azienda ha deciso di potenziare il Blocco Note rendendolo più versatile e adatto a scenari moderni, anche in ottica di integrazione con Copilot e con strumenti basati su intelligenza artificiale. Il supporto Markdown, aggiunto nel 2025, permetteva di visualizzare grassetto, corsivo, elenchi e link ipertestuali direttamente nell'app.

Il supporto Markdown attivo di default su milioni di installazioni ha trasformato un'app storicamente offline e minimale in uno strumento con capacità di interazione più profonda con il sistema operativo. La versione moderna del Blocco Note scaricata dal Microsoft Store è quella affetta dalla vulnerabilità, mentre la variante classica (notepad.exe) non è interessata, mancando del supporto Markdown.

La vulnerabilità ha riacceso un dibattito su quanto sia sensato aver trasformato un editor di testo minimale in un'applicazione che comunica con i server di Microsoft. Per funzionare, Copilot ha bisogno di una connessione attiva, e questo significa che anche il più umile degli editor di testo deve dialogare con il cloud.

La soluzione implementata da Microsoft

⬆ Torna su

Microsoft ha risolto la vulnerabilità introducendo un sistema di avvisi di sicurezza aggiuntivi. D'ora in poi, quando l'utente clicca su link che non utilizzano i protocolli standard (http:// e https://), il Blocco Note mostra una finestra di dialogo di conferma per URI come file:, ms-settings:, ms-appinstaller:, mailto: e ms-search:. Prima di procedere con l'esecuzione, Windows chiede esplicitamente conferma all'utente.

L'aggiornamento viene distribuito tramite Microsoft Store, quindi la patch dovrebbe essere distribuita automaticamente e rapidamente, senza richiedere interventi manuali da parte degli utenti. Gli utenti che utilizzano Windows Update devono verificare la presenza di aggiornamenti come KB5077181 o simili per gli aggiornamenti cumulativi.

Al momento del rilascio della patch non risultavano exploit pubblici attivamente in circolazione. Tuttavia, proof-of-concept erano già circolati tra i ricercatori, aumentando il pericolo di attacchi futuri.

Limiti della correzione e rischi residui

⬆ Torna su

Alcuni ricercatori di sicurezza hanno evidenziato un possibile limite: le finestre di avviso possono comunque essere aggirate tramite tecniche di social engineering. Se un utente viene convinto a cliccare "Sì" nella finestra di dialogo, il rischio di esecuzione rimane. La protezione ora c'è, ma dipende anche dal comportamento dell'utente.

Nei test condotti, la patch risulta efficace nel bloccare l'esecuzione silenziosa, sebbene rimanga possibile indurre utenti poco attenti a cliccare comunque sul pulsante di conferma attraverso tecniche di manipolazione. Resta da chiedersi perché Microsoft non abbia semplicemente impedito l'utilizzo di protocolli non standard nei link Markdown fin dalla progettazione iniziale della funzionalità.

Impatto per utenti e aziende

⬆ Torna su

La vulnerabilità colpisce principalmente la versione moderna del Blocco Note scaricata dal Microsoft Store. Milioni di utenti Windows 11 sono potenzialmente esposti, specialmente quelli che usano file .md per note, documentazione o sviluppo. Per le aziende, il rischio è amplificato: un dipendente che apre un file infetto potrebbe compromettere l'intera rete, portando a furto di dati o ransomware.

Lo scenario più pericoloso prevedeva la creazione di collegamenti verso condivisioni SMB remote, permettendo teoricamente l'esecuzione di payload ospitati su server controllati dagli attaccanti. L'attacco presuppone la creazione mirata di un file malevolo e la sua distribuzione alla vittima tramite email, download o condivisione diretta.

Contesto e precedenti

⬆ Torna su

Il caso arriva poco dopo la correzione di gennaio 2026 relativa alla vulnerabilità zero-day CVE-2026-20805 nel Desktop Window Manager, che era stata attivamente sfruttata. La frequenza con cui emergono queste problematiche sottolinea quanto sia necessario mantenere Windows aggiornato, applicare tempestivamente le patch e prestare attenzione ai file provenienti da fonti sconosciute.

La vulnerabilità CVE-2026-20841 dimostra come anche componenti apparentemente innocui e storicamente semplici possano diventare vettori critici quando vengono arricchiti con nuove funzionalità. Episodi come questo non indicano un sistema fragile, ma un ecosistema complesso che richiede manutenzione continua.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione introduce un'ulteriore barriera, ma lascia aperta la questione del modello di conferma utente come unica difesa residua. La trasformazione del Blocco Note in applicazione connessa amplia la superficie di attacco di uno strumento storicamente considerato sicuro.

• Scenario 1: Se gli avvisi di conferma diventano routine, gli utenti potrebbero abituarsi a cliccare "Sì" senza leggere, rendendo inefficace la protezione contro il social engineering.
• Scenario 2: Funzionalità simili potrebbero emergere in altre applicazioni Microsoft Store che supportano Markdown o protocolli personalizzati, estendendo il perimetro di rischio.
• Scenario 3: L'integrazione con Copilot potrebbe esporre ulteriormente il Blocco Note a vettori indiretti, dato che l'app deve dialogare con il cloud per funzionare.

Cosa monitorare

⬆ Torna su

• L'effettiva distribuzione automatica della patch tramite Microsoft Store e la copertura degli aggiornamenti cumulativi.
• Segnalazioni di eventuali exploit in circolazione o tentativi di attacco basati su file .md distribuiti via email.
• La reazione della community di sicurezza riguardo ai limiti evidenziati nel sistema di avvisi.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.tuttotech.net/news/2026/02/12/windows-11-blocco-note-fix-vulnerabilita.html
• https://www.tuttohackintoshcydiajailbreak.org/windows-11-blocco-note-vulnerabilita-sicurezza-cve-2026-20841-soluzioni-e-patch
• https://www.windowsblogitalia.com/2026/02/vulnerabilita-blocco-note-windows/
• https://www.zazoom.it/2026-02-12/patch-critica-nel-blocco-note-ecco-cosa-permetteva/18640616
• https://www.tomshw.it/hardware/notepad-di-windows-11-link-markdown-eseguono-file-2026-02-12
• https://www.epgitalia.tv/blocco-note-sotto-accusa-una-vulnerabilita-in-windows-11-apre-alla-possibilita-di-esecuzione-di-codice-remoto/
• https://www.punto-informatico.it/microsoft-corregge-bug-critico-blocco-note-windows/