Scopri anche

• Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati
• Windows 11: vulnerabilità critica nel Blocco Note e aggiornamento problematico KB5077181
• Vulnerabilità critica nel Blocco Note di Windows e problemi di sistema risolti
• Windows 10: Il nuovo aggiornamento KB5073724 e il futuro della sicurezza Microsoft - Edunews24
• Analisi della correzione del mercato AI: il calo dell'11% di AMD e il cambiamento di fase del settore
• Problemi di Arresto e Riavvio in Windows 11: Diagnosi e Soluzioni
• CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office
• Problemi di arresto e riavvio in Windows 11: cause e soluzioni
• Patch Tuesday: Perché Microsoft Rilascia Gli Aggiornamenti Sempre Il Secondo Martedì Del Mese
• Attacchi Living-off-the-Land: tecnica, sfide e mitigazioni
• Microsoft Azure già pronta per NVIDIA Rubin: infrastruttura progettata anni prima
• Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
• Intel rilascia i nuovi driver Arc GPU: supporto per giochi e API grafiche aggiornate
• Wikipedia Enterprise: le Big Tech pagano per l'accesso API nell'era dell'AI
• Microsoft lavora all'emulazione Xbox ufficiale per PC Windows e dispositivi handheld
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• Problemi Windows 10 e 11: Patch Straordinarie e Disconnessioni Desktop Remoto
• Windows 10 KB5073724: l'aggiornamento cumulativo di gennaio 2026 per il programma ESU
• Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
• IREN: Da Minatore di Bitcoin a Operatore di Data Center AI, la Transizione Strategica

Vulnerabilità critica nel Blocco Note di Windows 11: correzione e implicazioni

Blocco Note di Windows 11: vulnerabilità critica corretta nel Patch Tuesday di febbraio

Microsoft ha rilasciato una correzione per una vulnerabilità classificata come CVE-2026-20841 nel Blocco Note di Windows 11. La falla, con un punteggio CVSS di 8.8 su 10, permetteva l'esecuzione remota di codice attraverso link Markdown appositamente manipolati, senza che il sistema operativo mostrasse alcun avviso di sicurezza all'utente. Il problema è stato risolto con il Patch Tuesday di febbraio 2026 e la patch viene distribuita automaticamente tramite Microsoft Store.

Il meccanismo della vulnerabilità

⬆ Torna su

La vulnerabilità sfruttava il supporto Markdown introdotto nella versione moderna del Blocco Note di Windows 11. Come descritto nei bollettini di sicurezza, si trattava di una forma di command injection dovuta a una neutralizzazione impropria di elementi speciali utilizzati in un comando. In termini tecnici, il sistema non filtrava correttamente determinati URI, permettendo l'esecuzione di codice nel contesto dell'utente che aveva aperto il file.

Uno scenario d'attacco tipico prevedeva la creazione di un file Markdown con link costruiti ad arte utilizzando protocolli non standard come file://, ms-installer://, ms-appinstaller://, ms-settings:, mailto: e ms-search:. Quando l'utente apriva il documento in modalità Markdown e cliccava il link con la combinazione Ctrl+click, il file veniva eseguito direttamente nel contesto di sicurezza dell'utente corrente, ereditandone tutti i permessi. L'attaccante avrebbe quindi ottenuto gli stessi permessi della vittima.

La particolarità più significativa risiedeva nell'assenza totale di dialoghi di conferma: Windows non mostrava all'utente alcun avviso di sicurezza prima dell'esecuzione. Lo scenario più pericoloso, come evidenziato dai ricercatori, prevedeva la creazione di collegamenti verso condivisioni SMB remote, permettendo teoricamente l'esecuzione di payload ospitati su server controllati dagli attaccanti.

La correzione implementata da Microsoft

⬆ Torna su

Microsoft ha risolto la vulnerabilità modificando il comportamento del Blocco Note. L'applicazione ora mostra un dialogo di avviso ogni volta che l'utente tenta di aprire un link che non utilizza i protocolli standard http:// o https://. Questo vale per tutti i tipi di URI alternativi, inclusi file:, ms-settings:, ms-appinstaller:, mailto: e ms-search:.

La correzione è stata implementata negli aggiornamenti di sicurezza rilasciati il 10 febbraio 2026, all'interno del Patch Tuesday mensile. Poiché il Blocco Note di Windows 11 viene aggiornato tramite Microsoft Store, la patch viene distribuita automaticamente senza richiedere interventi manuali da parte degli utenti. Le versioni interessate sono la 11.2510 e precedenti.

Al momento del rilascio della patch non risultavano exploit pubblici attivamente in circolazione, secondo le fonti citate. La vulnerabilità è stata classificata come "Importante" da Microsoft, un livello inferiore rispetto a "Critica" ma comunque con un impatto potenzialmente serio.

Le origini del problema: la modernizzazione del Blocco Note

⬆ Torna su

La vulnerabilità affonda le radici nella completa riscrittura del Blocco Note avvenuta con Windows 11. Quando Microsoft ha deciso di dismettere WordPad e rimuoverlo dal sistema operativo, ha scelto di trasformare l'editor di testo in uno strumento ibrido, capace di gestire sia file di testo semplice sia documenti con formattazione avanzata. L'introduzione del supporto Markdown rappresentava un cambiamento: gli utenti potevano formattare testo, creare liste e inserire link cliccabili utilizzando la sintassi standard dei file .md.

La vulnerabilità è stata scoperta dai ricercatori Cristian Papa, Alasdair Gorniak e Chen. La community ha reagito rapidamente una volta comunicata la vulnerabilità, con diversi ricercatori che hanno dimostrato su social media quanto fosse banale sfruttare la falla. Bastava un file test.md contenente link a eseguibili per lanciare applicazioni o aprire il prompt dei comandi senza alcuna notifica di Windows.

Il dibattito su funzionalità e sicurezza

⬆ Torna su

Il caso ha riacceso un dibattito sulla progressiva "evoluzione" di applicazioni storicamente minimaliste. La ragione ufficiale della modernizzazione del Blocco Note è l'integrazione di Copilot, l'assistente AI che Microsoft sta integrando in diversi componenti del sistema operativo. Per funzionare, Copilot ha bisogno di una connessione attiva, e questo significa che anche l'editor di testo deve dialogare con il cloud.

Ogni nuova funzionalità aumenta inevitabilmente la superficie di attacco, soprattutto quando coinvolge link cliccabili e protocolli di sistema. Come osservato da alcune fonti, un programma nato per essere una lavagna digitale senza pretese si ritrova con una superficie d'attacco che anni fa sarebbe stata impensabile.

Alcuni ricercatori di sicurezza hanno evidenziato un possibile limite della correzione: le finestre di avviso possono comunque essere aggirate tramite tecniche di social engineering. Se un utente viene convinto a cliccare su "Sì" nella finestra di dialogo, il rischio di esecuzione rimane. La protezione ora esiste, ma dipende anche dal comportamento dell'utente.

Il contesto delle patch di sicurezza

⬆ Torna su

La vulnerabilità nel Blocco Note arriva poco dopo la correzione di gennaio 2026 relativa alla vulnerabilità zero-day CVE-2026-20805 nel Desktop Window Manager, che era stata attivamente sfruttata. La frequenza con cui emergono queste problematiche sottolinea l'importanza di mantenere Windows aggiornato e applicare tempestivamente le patch.

Il caso rappresenta un esempio lampante di come anche strumenti apparentemente innocui possano nascondere rischi significativi quando vengono arricchiti con nuove funzionalità. Resta aperta la domanda sul perché Microsoft non abbia semplicemente impedito l'utilizzo di protocolli non standard nei link Markdown fin dalla progettazione iniziale della funzionalità.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione introduce un livello di protezione precedentemente assente, ma l'efficacia dipende dalla velocità con cui gli utenti ricevono l'aggiornamento tramite Microsoft Store e dalla loro capacità di riconoscere avvisi legittimi da tentativi di manipolazione.

• Scenario 1: le organizzazioni con aggiornamenti automatici disattivati potrebbero rimanere esposte più a lungo, dato che la distribuzione avviene via store e non tramite Windows Update tradizionale.
• Scenario 2: attaccanti potrebbero sviluppare tecniche di social engineering per indurre gli utenti a confermare i dialoghi di avviso, mantenendo parzialmente efficace il vettore d'attacco.
• Scenario 3: l'espansione delle funzionalità del Blocco Note, inclusa l'integrazione con Copilot, potrebbe esporre nuovi vettori in futuro se l'approccio alla sicurezza non viene rafforzato in fase di progettazione.

Cosa monitorare

⬆ Torna su

• La percentuale di adozione della patch nelle settimane successive al rilascio.
• Eventuali segnalazioni di exploit attivi sfruttati "in the wild".
• L'evoluzione delle policy di gestione dei protocolli URI nelle applicazioni di sistema.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://news.fidelityhouse.eu/software-app/windowsnovita-6-651478.html
• https://www.tuttotech.net/news/2026/02/12/windows-11-blocco-note-fix-vulnerabilita.html
• https://www.windowsblogitalia.com/2026/02/vulnerabilita-blocco-note-windows/
• https://www.zazoom.it/2026-02-12/patch-critica-nel-blocco-note-ecco-cosa-permetteva/18640616
• https://www.tomshw.it/hardware/notepad-di-windows-11-link-markdown-eseguono-file-2026-02-12
• https://www.techbyte.it/news/falla-notepad-windows-11-esecuzione-file-markdown/
• https://www.punto-informatico.it/microsoft-corregge-bug-critico-blocco-note-windows/