Notepad được Microsoft bổ sung nhiều tính năng, làm tăng nguy cơ bị hacker tấn công
Notepad là minh chứng cho việc được mở rộng tính năng làm tăng rủi ro bảo mật.
Ra đời từ năm 1983, Notepad là một trong những phần mềm quen thuộc nhất trên hệ điều hành Windows. Gần như mọi thế hệ người dùng Windows đã sử dụng Notepad để ghi chú nhanh, soạn thảo vài dòng văn bản hoặc thậm chí viết những đoạn mã đơn giản.
Không giống Word, phiên bản Notepad truyền thống chỉ hỗ trợ hiển thị và chỉnh sửa văn bản thuần túy (.txt), không kết nối mạng, không xử lý dữ liệu phức tạp, không có macro hay plugin.
Macro là tập hợp các lệnh hoặc thao tác được ghi lại sẵn để có thể tự động thực hiện lại chỉ bằng một lần bấm.
Chính sự đơn giản đó khiến nhiều người nghĩ rằng Notepad không phải là mục tiêu tấn công nguy hiểm cho đến khi lỗ hổng CVE-2026-20841 được phát hiện.
Lỗ hổng CVE-2026-20841 nghiêm trọng như thế nào?
Ngày 10.2 vừa qua, Microsoft tung ra bản cập nhật bảo mật trong Patch Tuesday tháng 2.2026 để vá một lỗ hổng nghiêm trọng có tên mã CVE-2026-20841 trong Notepad (phân phối qua Microsoft Store)
Trước đó, tính năng mới hỗ trợ file Markdown (.md) trong Notepad xử lý liên kết một cách không an toàn, khiến phần mềm có thể mở các trình xử lý giao thức không đáng tin cậy khi người dùng bấm vào liên kết độc hại.
Sau khi được cập nhật bản vá lỗi, Notepad giờ sẽ hiển thị cảnh báo an toàn khi mở các liên kết không thuộc giao thức http hay https, thay vì tự động thực thi ngay lập tức.
Notepad được Microsoft bổ sung nhiều tính năng mới, gồm cả AI, làm tăng nguy cơ bị hacker tấn công - Ảnh: MTG
Động thái này diễn ra sau khi hãng phát triển Notepad++ (phần mềm thay thế Notepad) thông báo cơ sở hạ tầng của họ bị hacker xâm nhập, làm dấy lên lo ngại về an ninh các công cụ soạn thảo văn bản.
Lỗ hổng CVE-2026-20841 thuộc loại thực thi mã từ xa (RCE) và được xếp ở mức độ nghiêm trọng cao với điểm CVSS khoảng 8.8/10.
CVSS (Common Vulnerability Scoring System) là hệ thống chấm điểm lỗ hổng bảo mật phổ biến trên toàn cầu. Khi một lỗ hổng được phát hiện, các chuyên gia sẽ dùng CVSS để tính xem nó nguy hiểm đến mức nào.
Cách thức khai thác lỗ hổng CVE-2026-20841
Kẻ tấn công lợi dụng sự tin tưởng hoặc sơ suất của người dùng để khai thác lỗ hổng này.
Trước hết, kẻ xấu tạo ra một file Markdown có cài sẵn liên kết được thiết kế đặc biệt để khai thác cách Notepad xử lý loại file này. Sau đó, hắn có thể tìm cách gửi file đó cho nạn nhân qua email hoặc tin nhắn.
Nếu người dùng mở file Markdown và bấm vào liên kết bên trong Notepad, một script có thể được kích hoạt, tự động tải xuống và thực thi mã độc từ xa trên máy tính.
Script là đoạn mã lệnh ngắn được viết ra để máy tính tự động thực hiện một hoặc nhiều tác vụ cụ thể.
Qua đó, kẻ tấn công có thể giành quyền kiểm soát máy tính nạn nhân, truy cập vào dữ liệu, đánh cắp thông tin nhạy cảm, cài đặt phần mềm độc hại, tiếp tục mở rộng xâm nhập trong mạng nội bộ hoặc ảnh hưởng tới các hệ thống khác.
Tuy nhiên, Microsoft cho biết chưa ghi nhận trường hợp nào bị khai thác lỗ hổng CVE-2026-20841 tại thời điểm công bố.
Microsoft khuyến cáo người dùng tránh mở file Markdown không rõ nguồn gốc và không bấm vào liên kết đáng ngờ trong Notepad.
Markdown là ngôn ngữ đánh dấu nhẹ dùng để viết văn bản có định dạng (heading, chữ đậm, chữ nghiêng, danh sách, liên kết, hình ảnh…) bằng văn bản thuần túy rất đơn giản và dễ đọc.
Điểm đặc biệt của Markdown là bạn không cần dùng hàng loạt thẻ HTML phức tạp để định dạng, mà chỉ cần thêm các ký hiệu đặc biệt ngay trong văn bản.
Phần mềm càng đơn giản khi có lỗ hổng càng nguy hiểm?
Một quan điểm phổ biến trong cộng đồng bảo mật: Phần mềm càng nhiều tính năng và phức tạp thì khả năng có lỗi càng cao, và khi xuất hiện lỗi thì mức độ rủi ro thường nghiêm trọng hơn. Nhận định này nhìn chung là đúng.
Tuy nhiên, trường hợp của Notepad lại cho thấy điều thú vị: Đôi khi một phần mềm được xem là rất đơn giản và vô hại cũng có thể trở thành điểm yếu nghiêm trọng nếu được bổ sung những tính năng mới.
Trong phần lớn lịch sử, Notepad chỉ thực hiện nhiệm vụ rất đơn giản là mở các file văn bản thuần túy. Ở giai đoạn đó, Notepad hầu như không phải mục tiêu của các cuộc tấn công mạng. Lý do đơn giản là phần mềm này không chạy mã, không kết nối internet và cũng không sở hữu các tính năng phức tạp có thể bị lợi dụng. Nếu có lỗi, chúng thường chỉ gây bất tiện chứ khó dẫn đến xâm nhập hệ thống.
Tuy nhiên, Notepad ngày nay đã khác trước. Những năm gần đây, Microsoft đã nâng cấp Notepad với các tính năng mới như hỗ trợ file Markdown, thanh công cụ định dạng (bôi đậm, in nghiêng), khả năng chèn và bấm vào liên kết, thậm chí tích hợp các tính năng AI của Copilot.
Nói cách khác, chính việc nâng cấp này từ Microsoft làm bề mặt tấn công của Notepad rộng hơn so với trước đây.
Lỗ hổng CVE-2026-20841 là ví dụ rõ ràng cho thấy Notepad đã thay đổi như thế nào theo thời gian.
Nhìn ở góc độ trên, Notepad không phải là ví dụ cho “phần mềm đơn giản thì khi có lỗ hổng càng nguy hiểm”, mà minh chứng cho việc được mở rộng tính năng làm tăng rủi ro bảo mật.
Notepad được phân phối qua Microsoft Store từ khi nào?
Notepad bắt đầu xuất hiện trên Microsoft Store lần đầu vào tháng 8.2019 như một thử nghiệm nhằm tách riêng phần mềm này ra khỏi chu kỳ cập nhật hệ điều hành Windows. Song sau một thời gian ngắn, Microsoft đã gỡ bỏ phiên bản đó và mang Notepad trở lại Store một lần nữa vào tháng 4.2020 với thiết kế cùng biểu tượng mới.
Kể từ đó, Notepad được phân phối qua Microsoft Store cho cả Windows 10 lẫn Windows 11. Việc này giúp Notepad được cập nhật nhanh và linh hoạt hơn so với việc gắn chặt vào Windows Update.
Thay vì chờ đến chu kỳ cập nhật Windows tiếp theo, Microsoft có thể cập nhật tính năng và phát hành bản vá nhanh chóng cho Notepad để phản ứng với lỗ hổng bảo mật.
Song nhược điểm là trong môi trường doanh nghiệp hoặc hệ thống mà Microsoft Store bị chặn hoặc kiểm soát chặt, cập nhật Notepad có thể bị trì hoãn. Nếu lỗ hổng xuất hiện mà bản vá cho Notepad chưa được người dùng cài đặt kịp thời, máy tính sẽ phải đối mặt với rủi ro bảo mật trong một khoảng thời gian nhất định.
