Kerentanan Eksekusi Kode Jarak Jauh CVE-2026-20841 pada aplikasi Windows Notepad

(cve.org)

4 poin oleh GN⁺ 2026-02-12 | 7 komentar | Bagikan ke WhatsApp

Kerentanan command injection ditemukan pada aplikasi Windows Notepad, dan dilaporkan memungkinkan eksekusi kode dari jarak jauh
Penyerang yang tidak diautentikasi dapat menjalankan perintah berbahaya melalui jaringan, dengan membutuhkan interaksi pengguna
Kerentanan ini memengaruhi Windows Notepad versi 11.0.0 hingga sebelum 11.2510
Dinilai dengan skor 8.8 (tinggi) berdasarkan CVSS 3.1, dengan dampak tinggi terhadap kerahasiaan, integritas, dan ketersediaan
Microsoft telah mendaftarkannya sebagai CVE-2026-20841, dan patch keamanan serta panduan tersedia melalui MSRC (Microsoft Security Response Center)

Ringkasan CVE-2026-20841

Kerentanan ini diklasifikasikan sebagai kerentanan command injection (CWE-77) pada Windows Notepad App
- Perintah dapat dimanipulasi karena netralisasi karakter khusus yang tidak semestinya
- Penyerang dapat melakukan eksekusi kode jarak jauh melalui jaringan
CNA (otoritas pendaftaran resmi) adalah Microsoft Corporation, dan CVE ini dipublikasikan pada 10 Februari 2026 lalu diperbarui pada 11 Februari

Detail teknis

Jenis kerentanan: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
Cakupan dampak: Windows Notepad versi 11.0.0 ke atas dan sebelum 11.2510
Penilaian CVSS 3.1:
- Skor: 8.8 (High)
- Vektor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Dapat diakses melalui jaringan, kompleksitas rendah, membutuhkan interaksi pengguna

Dampak dan tingkat risiko

Penyerang dapat melakukan eksekusi kode jarak jauh tanpa autentikasi
Kerahasiaan (C), integritas (I), dan ketersediaan (A) sistem semuanya terdampak pada tingkat tinggi
Status dasar kerentanan ditandai sebagai “affected”, dan versi yang terdampak disebutkan secara jelas

Referensi dan penanganan

Panduan keamanan resmi dari Microsoft tersedia di MSRC Update Guide
Program CVE memuat informasi tambahan tentang kerentanan ini, dan CISA-ADP disebut sebagai penerbit data yang disetujui
Referensi eksternal terkait mencakup postingan Hacker News (https://news.ycombinator.com/item?id=46971516)

Ringkasan

CVE-2026-20841 adalah kerentanan eksekusi kode jarak jauh pada aplikasi Windows Notepad dengan tingkat keparahan tinggi (skor 8.8)
Microsoft telah secara resmi mendaftarkan dan menyiapkan patch, dan pengguna perlu memperbarui ke versi terbaru
Kerentanan ini membuka kemungkinan serangan melalui command injection dan dapat terekspos pada serangan berbasis jaringan

7 komentar

jwh926 2026-02-12

microslop.

mammal 2026-02-12

Tolong, untuk bagian yang fundamental seperti OS dan browser, akan bagus jika hanya menyediakan fungsi dasarnya tanpa sampah seperti cloud / AI / integrasi.

Fitur vendor rasanya sudah cukup jika disediakan sebagai layer di atasnya...

GN⁺ 2026-02-12

Komentar Hacker News

Melihat laporan pemegang saham tahun 2025, Windows berada di peringkat ke-5 sebagai sumber pendapatan, bahkan di bawah LinkedIn
Sekarang rasanya Microsoft sudah tidak peduli lagi pada Windows atau Notepad
- Windows itu seperti kuda Troya mereka
- Dalam laporan itu, pendapatan dibagi menjadi tiga kategori — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — dan Windows hanyalah bagian dari grup ketiga. Jadi saya penasaran bagaimana kesimpulannya bisa menjadi peringkat ke-5
- Microsoft sebentar lagi praktis identik dengan Windows itu sendiri. Office punya banyak pengganti, tidak punya model AI, Github tidak stabil, Azure buruk, Xbox sudah gagal. Jika Windows mati, semua yang berdiri di atasnya juga akan ikut hilang
Inti masalahnya adalah penanganan tautan
Menurut CVE-2026-20841, jika penyerang membujuk korban untuk mengeklik tautan berbahaya di dalam file Markdown, Notepad bisa menjalankan protokol yang tidak terverifikasi dan memuat file jarak jauh
- Fakta bahwa Notepad memproses tautan terasa seperti pensil yang punya kerentanan pemuatan tinta. Rasanya seperti lelucon lama “jika Microsoft membuat mobil” jadi kenyataan (tautan terkait)
- Saya tidak yakin ini benar-benar masalah besar. Bukankah ini bisa terjadi juga di semua aplikasi yang merender tautan yang bisa diklik—seperti browser atau klien email?
- Saya penasaran apa maksud “unverified protocols”. Apakah Windows punya skema URL seperti exe:// yang bisa langsung memanggil berkas executable?
Saya pernah mencari Windows 98 Notepad dan menjalankannya di Windows 11, dan hasilnya berfungsi sempurna. Bisa mengetik teks, menyimpan, memuat. Apa lagi yang sebenarnya dibutuhkan? Ditambah lagi font-nya membangkitkan nostalgia
- Notepad Win9x hanya bisa membuka sampai 64KB dan hanya mendukung encoding ANSI. Versi setelahnya memang punya peningkatan berguna seperti dukungan LF, tetapi semua fitur tambahan di Windows 11 hanyalah beban yang tidak perlu
- Saya mengekstrak notepad.exe, calc.exe, dan mspaint.exe dari Windows 7 lalu memakainya di Windows 11. Berfungsi sempurna
- Alasan jendela “About Notepad” menampilkan versi Windows 11 adalah karena program tersebut memanggil Windows API untuk menampilkan versi sistem
- Sebenarnya notepad.exe lama masih tetap ada di Windows 11. Hanya saja saat dijalankan akan dialihkan ke aplikasi baru. Jika mematikan “App execution aliases” di pengaturan, Notepad lama bisa dipakai apa adanya
- Saya penasaran bagaimana cara memakai Notepad Copilot untuk Copilot 365 dengan versi itu
Beberapa hari lalu Notepad++ disusupi oleh aktor serangan tingkat negara, dan hari ini Notepad bawaan Windows mendapat CVE. Jadi rasanya Windows memang harus dihapus total. Tidak ada sandboxing, dan ini adalah gunungan kode legacy
- Secara teknis keluarga Unix juga penuh legacy, tetapi Windows benar-benar gunungan sampah
- Insiden Notepad++ adalah kelompok penyerang asal Tiongkok yang menyusupi penyedia hosting. Verifikasi pembaruan juga sudah ditingkatkan, dan ada alternatif seperti scoop. Serangannya sangat terbatas dan IOC juga sudah dipublikasikan
- Kompromi sebenarnya terjadi bukan beberapa hari lalu, tetapi beberapa bulan lalu, dan berlangsung selama beberapa minggu
- Saya memakai gvim di Windows sebagai pengganti Notepad. Bahkan tanpa plugin pun sudah cukup
- Sekarang yang tersisa hanya RCE ikon mouse. Saat itulah puncak sesungguhnya akan tiba
Kita sekarang sudah sampai pada akhir logis dari pipeline fitur berlebihan → kerentanan
Selama 30 tahun Notepad adalah standar untuk penampil teks sederhana, dan sekarang mendapat skor CVSS 8.8 adalah runtuhnya prinsip least privilege. Pertanyaannya bukan “bisakah kita menambahkan fitur ini?”, melainkan “apakah editor teks ini perlu stack rendering jaringan?”
- Mereka tidak berhenti di situ, tetapi juga bertanya “apakah perlu AI?”, lalu memberikan jawaban yang salah
- Tentu saja, dulu pun Notepad pernah punya bug konyol seperti “Bush hid the facts”. Waktu itu Unicode dan encoding adalah masalah yang sulit, sekarang kita hanya sedang berperang di medan yang berbeda
- Saya juga sepenuhnya setuju. Editor teks yang punya stack jaringan adalah sarang kerentanan. Karena itu saya membuat sendiri editor teks lokal saja dengan Rust. Tidak ada izin jaringan, penyimpanan terenkripsi, memakai OpenSSL kompatibel FIPS. Bisa dilihat di FIPSPad
- Tetapi bug kali ini tampaknya tidak terkait dengan stack rendering jaringan atau AI. Menurut MSRC, masalahnya adalah penyerang membujuk korban mengeklik tautan di file Markdown sehingga file jarak jauh dijalankan. Misalnya mengeklik tautan seperti \\evil.example\virus.exe lalu itu dijalankan
- Masalahnya, saya ragu Microsoft bahkan sadar bahwa mereka telah menambahkan stack rendering jaringan
Yang lucu, browser sudah sejak lama menerapkan peringatan ke pengguna sebelum menjalankan protokol, tetapi Microsoft menambahkan tautan yang bisa diklik ke Notepad sambil melewatkan itu sepenuhnya. Ini bukan soal fitur berlebihan, melainkan menemukan ulang masalah yang sudah diselesaikan sambil lupa memasang pengamannya
Saya kaget membaca “jika mengeklik tautan berbahaya di file Markdown maka file jarak jauh akan dijalankan”. Saya tidak tahu Notepad merender Markdown
- Jika Notepad mulai merender format lain, alasan saya memakai Notepad—yakni kemurniannya sebagai alat penghapus format—akan hilang. Keajaiban Notepad ada pada kesederhanaannya yang mengabaikan formatting dari tim marketing
- Mungkin ini fitur yang baru ditambahkan. Saya memakainya setiap hari dan baru minggu lalu melihat rendering Markdown
- Ini mengingatkan saya pada kalimat “penderitaan akan terus berlanjut sampai moral meningkat”
Saya rindu masa ketika Notepad hanya alat untuk menampilkan teks
- Karena itu saya memakai Notepad2. Notepad lama dulu tidak bisa menampilkan line break LF dengan benar, sementara Notepad2 punya sedikit lebih banyak fitur tetapi tetap ringan dan bersih
- Dulu pada era XP, alternatif seperti Metapad lebih baik
Sepertinya sekarang memang sudah waktunya meninggalkan Windows
- Ini bukan lelucon, tahun ini jumlah orang yang pindah ke Linux karena “Windows terlalu buruk” meningkat tajam. Saya juga begitu tahun lalu. Setelah puluhan tahun merasa “ya lumayan”, sekarang berubah menjadi “ini benar-benar tidak bisa diterima”
Peran Notepad hanya untuk menampilkan teks, tetapi Microsoft justru menambahkan permukaan serangan ke sana.
“Tahunnya desktop Linux” bahkan tidak perlu datang — jika Windows terus begini, itu saja sudah cukup
- Tetapi kenyataannya mungkin justru era Mac OS yang akan datang. Jika chip seri M menyebar sampai model murah, semua orang akan pindah ke sana

savvykang 2026-02-12

Setelah dipaksa upgrade ke Windows 11, isi Notepad saya kadang rusak. Sepertinya MS memang benar-benar belum sadar juga.

sudosudo 2026-02-12

Tolong berhenti mengutak-atik Notepad..

kayws426 2026-02-12

Bug absurd seperti “Bush hid the facts”
jadi kenangan ya.

ssolarsystem 2026-02-12

Sepertinya sejak WordPad dihapus, orang-orang jadi memasukkan teks berformat yang agak tanggung untuk dimasukkan ke pengolah kata ke dalam Markdown, lalu terjadilah insiden seperti ini. Saya rasa dari sisi keamanan akan lebih baik kalau masuk ke pengaturan lalu mematikan semua fitur AI dan pemformatan.