Lỗ hổng RCE trên Windows Notepad: Cách khắc phục CVE-2026-20841

TECHFIXBK BLOG

TechFixBK

|13 tháng 2, 2026|34 min read

Tìm hiểu về lỗ hổng CVE-2026-20841 trong Windows Notepad và cách áp dụng bản vá bảo mật tháng 2 năm 2026 để bảo vệ PC của bạn khỏi các cuộc tấn công từ xa.

Bảo mật hệ thống của bạn chống lại lỗi thực thi mã từ xa mức độ nghiêm trọng cao trong tính năng Markdown của Notepad bằng các bước cập nhật ngay lập tức sau đây.

Giới thiệu và Đối tượng mục tiêu

Tìm hiểu về CVE-2026-20841 và cách bảo mật hệ thống của bạn chống lại việc thực thi mã từ xa.

Mở một tệp văn bản đơn giản từ trước đến nay vẫn được coi là một trong những hành động an toàn nhất mà người dùng PC có thể thực hiện. Tuy nhiên, một lỗ hổng nghiêm trọng cao mới được phát hiện gần đây chứng minh rằng ngay cả các tiện ích cơ bản cũng không còn miễn nhiễm với các cuộc tấn công tinh vi ^[1]^[12]. Chỉ cần một cú nhấp chuột đơn giản vào một liên kết bên trong tệp Markdown có thể cho phép kẻ tấn công thực thi mã độc với quyền hệ thống chính xác của bạn, dẫn đến nguy cơ toàn bộ hệ thống bị xâm nhập ^[4]^[5]^[7].

Bài viết này dành cho người dùng Windows 10 và Windows 11 đang sử dụng phiên bản hiện đại của ứng dụng Notepad tích hợp sẵn ^[24]. Chúng tôi sẽ đề cập đến:

Bản chất kỹ thuật của lỗi thực thi mã từ xa (RCE) CVE-2026-20841 ^[3]^[8]^[11].
Những phiên bản cụ thể nào của ứng dụng đang gặp rủi ro ^[1]^[24].
Cách áp dụng bản vá bảo mật tháng 2 năm 2026 để bảo vệ dữ liệu của bạn ^[3]^[5]^[15].

Báo cáo này chỉ tập trung vào ứng dụng Microsoft Windows Notepad chính thức. Nó không bao gồm các vấn đề bảo mật liên quan đến các trình chỉnh sửa của bên thứ ba như Notepad++, vốn gần đây đã giải quyết các lỗ hổng riêng biệt, không liên quan ^[3]^[5]^[6].

Tóm tắt nhanh / Ý nghĩa đối với bạn

Rủi ro: Một lỗ hổng trong tính năng Markdown mới của Notepad cho phép kẻ tấn công chạy các lệnh ẩn nếu bạn nhấp vào một liên kết độc hại bên trong tệp .md ^[1]^[2]^[9].
Tác động: Mã độc thực thi với cùng đặc quyền như người dùng đang đăng nhập; nếu bạn có quyền quản trị, kẻ tấn công cũng sẽ có quyền đó ^[1]^[4]^[13].
Các phiên bản bị ảnh hưởng: Bất kỳ phiên bản nào từ 11.0.0 đến 11.2510 đều được coi là dễ bị tổn thương ^[1]^[24].
Hành động được khuyến nghị: Cập nhật Notepad ngay lập tức thông qua Microsoft Store lên phiên bản 11.2510 hoặc cao hơn ^[8]^[24].
Tình trạng hiện tại: Mặc dù lỗi được xếp hạng cao 8.8/10 trên thang điểm CVSS, hiện chưa có báo cáo xác nhận nào về việc nó bị khai thác ngoài thực tế ^[1]^[5]^[14].

Nguồn chính (Liên kết nhanh)

Tóm tắt nhanh: Ý nghĩa đối với bạn

Microsoft đã giải quyết một lỗ hổng Thực thi mã từ xa (RCE) mức độ nghiêm trọng cao trong ứng dụng Windows Notepad ^[1]^[5]^[7]. Lỗi này, được theo dõi dưới mã CVE-2026-20841, bắt nguồn từ cách ứng dụng xử lý tính năng xem trước Markdown mới ^[1]^[2]^[20].

Lỗ hổng nghiêm trọng: Lỗi này cho phép kẻ tấn công thực thi mã độc từ xa nếu người dùng bị lừa nhấp vào một liên kết được tạo đặc biệt bên trong tệp Markdown (.md) ^[2]^[5]^[21].
Mức độ nghiêm trọng cao: Được xếp hạng với điểm CVSS là 8.8, lỗ hổng này cấp cho kẻ tấn công các quyền bảo mật tương đương với người dùng đang đăng nhập ^[1]^[5]^[9].
Yêu cầu hành động ngay lập tức: Người dùng nên cài đặt các bản cập nhật Patch Tuesday tháng 2 năm 2026 (bao gồm KB5077181 hoặc KB5075912) để bảo mật hệ thống của họ ^[20]^[43].
Kiểm tra phiên bản: Đảm bảo phiên bản Windows Notepad của bạn là 11.2510 hoặc cao hơn để giảm thiểu rủi ro cụ thể này ^[5]^[9]^[21].
Giảm thiểu rủi ro: Tránh mở hoặc tương tác với các tệp .txt hoặc .md không đáng tin cậy từ các nguồn không xác định, vì việc khai thác dựa trên các chiến thuật kỹ thuật xã hội ^[1]^[7]^[12].

Mặc dù Microsoft báo cáo rằng lỗ hổng này hiện chưa được chứng minh là đã bị khai thác ngoài thực tế, nhưng sự xuất hiện của mã khai thác thử nghiệm (PoC) công khai làm tăng đáng kể rủi ro tiềm ẩn cho các hệ thống chưa được vá lỗi ^[5]^[12]^[20].

Bối cảnh và Kiến thức cơ bản

Windows Notepad đã phát triển từ một trình chỉnh sửa văn bản thô sơ thành một ứng dụng phức tạp hơn sau khi WordPad bị loại bỏ khỏi Windows 11 ^[2]^[3]^[10]. Để lấp đầy khoảng trống mà WordPad để lại, Microsoft đã hiện đại hóa ứng dụng bằng cách thêm các tùy chọn định dạng nâng cao và hỗ trợ các tệp Markdown ^[3]^[4]^[12]. Những cập nhật này cho phép chương trình xử lý các bảng, văn bản in đậm và các liên kết có thể nhấp vào mà trước đây không được hỗ trợ trong trình chỉnh sửa cơ bản ^[3]^[4]^[15].

Ngoài định dạng cơ bản, ứng dụng hiện bao gồm tích hợp AI thông qua Copilot ^[1]^[4]^[10]. Tính năng này cung cấp hỗ trợ viết lách, chẳng hạn như tóm tắt và viết lại văn bản, đặc biệt đối với người dùng trên Copilot+ PC ^[1]^[10]. Mặc dù các công cụ này giúp tăng năng suất, chúng cũng làm tăng đáng kể độ phức tạp của mã nguồn ứng dụng ^[7]^[10].

Cảnh báo bảo mật gần đây tập trung vào một lỗ hổng được gọi là Thực thi mã từ xa (RCE) ^[1]^[5]^[7]. RCE là một lỗi nghiêm trọng cao cho phép một tác nhân bên ngoài tải và chạy các chương trình trái phép trên máy tính của nạn nhân mà họ không hề hay biết hoặc cho phép ^[1]^[7]^[15]. Loại tấn công này chiếm quyền điều khiển ứng dụng một cách hiệu quả để thực thi các lệnh độc hại qua mạng ^[3]^[5]^[15].

Trong bối cảnh của lỗi cụ thể này, mã độc chạy với cùng quyền bảo mật như người dùng đang đăng nhập ^[3]^[7]^[9]. Nếu người dùng có đặc quyền quản trị, kẻ tấn công có thể giành được mức độ kiểm soát tương tự đối với hệ thống ^[4]^[5]^[15]. Các báo cáo chỉ ra rằng mặc dù lỗ hổng này nghiêm trọng, nhưng nó dường như yêu cầu sự tương tác cụ thể của người dùng để có thể kích hoạt thành công ^[1]^[7]^[9].

Giải thích vấn đề

Microsoft đã chính thức công bố một lỗi bảo mật nghiêm trọng cao trong ứng dụng Windows 11 Notepad, được theo dõi dưới mã CVE-2026-20841 ^[2]^[4]. Lỗ hổng này nhận được điểm CVSS là 8.8, được xếp vào loại rủi ro bảo mật "cao" ^[1]^[6]^[41]. Trong nhiều thập kỷ, Notepad được coi là một tiện ích "an toàn" vì nó chỉ xử lý văn bản thuần túy, nhưng các đợt mở rộng tính năng gần đây đã đưa vào các đường dẫn thực thi mã phức tạp ^[7]^[41].

Sự chuyển dịch sang thực thi âm thầm

Lỗ hổng này chủ yếu liên quan đến tính năng hỗ trợ Markdown được thêm vào Notepad vào năm 2025 ^[1]^[5]. Các nhà nghiên cứu phát hiện ra rằng ứng dụng đã không vô hiệu hóa đúng cách các thành phần đặc biệt bên trong các lệnh, một lỗi được gọi là chèn lệnh (command injection) ^[3]^[5]. Điều này cho phép một tệp văn bản đơn giản hoạt động như một phương tiện truyền tải phần mềm độc hại.

Tính năng	Hành vi dễ bị tổn thương	Tác động
Liên kết Markdown	Thực thi các giao thức `file://` hoặc `ms-appinstaller://` một cách âm thầm ^[12].	Thực thi mã từ xa (RCE) ^[1].
Tương tác người dùng	Yêu cầu một `Ctrl+click` vào liên kết độc hại ^[12]^[14].	Vượt qua các cảnh báo bảo mật tiêu chuẩn ^[3]^[12].
Quyền hạn	Chạy với cùng quyền hạn như người dùng hiện tại ^[1]^[3].	Nguy cơ toàn bộ hệ thống bị xâm nhập nếu người dùng là quản trị viên ^[6]^[13].

Cách thức chiếm quyền điều khiển hoạt động

Vector tấn công dựa trên kỹ thuật xã hội để lừa người dùng mở một tệp Markdown được tạo đặc biệt (.md) ^[1]^[8]. Sau khi tệp được mở trong Notepad, nó hiển thị các liên kết được định dạng trông có vẻ bình thường nhưng lại trỏ đến các tệp từ xa độc hại ^[1]^[6].

Nếu người dùng nhấp vào một trong các liên kết này, ứng dụng sẽ khởi chạy các giao thức chưa được xác minh để tải và thực thi mã qua mạng ^[3]^[14]. Trong các phiên bản 11.2510 trở về trước, quá trình này diễn ra mà không hiển thị bất kỳ cảnh báo bảo mật thông thường nào của Windows, cho phép các tệp thực thi âm thầm trong nền ^[2]^[12].

Rủi ro thực tế và Hạn chế

Mặc dù lỗi này nghiêm trọng, nhưng nó không phải là lỗi "không cần nhấp chuột" (zero-click), nghĩa là nó không thể bị kích hoạt trừ khi người dùng tương tác thủ công với liên kết bên trong tệp ^[1]^[7]. Các nhà phân tích trong ngành cho rằng điều này làm cho lỗi trở nên đặc biệt nguy hiểm đối với các cuộc tấn công phishing và Xâm nhập Email Doanh nghiệp (BEC), vì người dùng thường không mong đợi một tệp .txt hoặc .md mở trong Notepad lại có thể gây nguy hiểm ^[1]^[14].

Cảnh báo: Nếu một người dùng có đặc quyền quản trị mở một tệp độc hại, kẻ tấn công sẽ giành được các quyền nâng cao tương tự, điều này có thể cho phép chúng đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại lâu dài ^[3]^[6].

Tại thời điểm công bố vào tháng 2 năm 2026, Microsoft báo cáo rằng không có trường hợp nào được biết đến về việc lỗi này bị khai thác ngoài thực tế ^[4]^[8]. Tuy nhiên, sự dễ dàng về mặt kỹ thuật trong việc tạo ra các liên kết như vậy đã khiến các nhà nghiên cứu dán nhãn đây là một mối đe dọa "ngấm ngầm" đối với nguyên tắc đặc quyền tối thiểu trong thiết kế phần mềm ^[13]^[41].

Nguyên nhân gốc rễ và Phân tích

Lỗ hổng trong Windows Notepad, được theo dõi dưới mã CVE-2026-20841, đại diện cho một sự thay đổi đáng kể trong hồ sơ bảo mật của một ứng dụng từng là tiện ích cơ bản. Các chuyên gia cho rằng vấn đề không phải là kết quả của một lỗi duy nhất mà là sự kết hợp của các thay đổi về kiến trúc và việc đưa vào các tính năng hiện đại phức tạp ^[1]^[6]^[7].

Hiện đại hóa và Tích hợp tính năng

Microsoft gần đây đã viết lại Notepad để hiện đại hóa ứng dụng, định vị nó một cách hiệu quả như một sự thay thế cho WordPad đã bị ngừng sản xuất ^[2]^[3]. Quá trình chuyển đổi này bao gồm việc bổ sung hỗ trợ Markdown, cho phép định dạng văn bản phong phú và các liên kết có thể nhấp vào ^[3]^[7]. Mặc dù các tính năng này làm tăng tính tiện dụng, chúng cũng đưa vào một mức độ phức tạp cho phép thực thi mã bên ngoài—một khả năng không tồn tại trong các phiên bản cũ hơn, đơn giản hơn của ứng dụng ^[1]^[12].

Vô hiệu hóa không đúng cách các thành phần đặc biệt

Gốc rễ kỹ thuật của lỗi được xác định là "vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong một lệnh", thường được gọi là chèn lệnh (command injection) ^[3]^[5]^[9]. Khi người dùng mở một tệp Markdown độc hại, ứng dụng không làm sạch đúng cách các liên kết được nhúng. Điều này cho phép phần mềm khởi chạy các "giao thức chưa được xác minh" có thể tải và thực thi các tệp từ xa qua mạng mà không kích hoạt các cảnh báo bảo mật tiêu chuẩn của Windows ^[2]^[3]^[14].

Mở rộng bề mặt tấn công thông qua "Sự phình to tính năng"

Các nhà phân tích trong ngành chỉ ra rằng "sự phình to tính năng" (feature creep) và việc bổ sung "phần mềm rác" (bloatware) là những yếu tố góp phần vào lỗ hổng của ứng dụng ^[4]^[5]^[10]. Việc tích hợp AI thông qua Copilot và các công cụ định dạng nâng cao khác đã mở rộng đáng kể bề mặt tấn công của phần mềm ^[1]^[10]. Các nhà phê bình lập luận rằng việc biến một trình chỉnh sửa văn bản nhẹ thành một ứng dụng giàu tính năng thường đưa vào các rủi ro bảo mật mà trước đây không tồn tại trong mã nguồn ban đầu của chương trình ^[1]^[5].

Phân tích các nguyên nhân đã xác nhận và suy đoán

Bảng dưới đây tóm tắt các yếu tố được xác định bởi các nhà nghiên cứu bảo mật và nhà phân tích kỹ thuật:

Yếu tố	Trạng thái	Tác động đến bảo mật
Hỗ trợ Markdown	Đã xác nhận ^[1]^[7]	Cho phép các liên kết có thể nhấp vào thực thi các lệnh ẩn.
Chèn lệnh	Đã xác nhận ^[3]^[5]	Cho phép mã trái phép chạy thông qua các giao thức chưa được xác minh.
Quyền hạn người dùng	Đã xác nhận ^[1]^[3]	Mã độc chạy với bối cảnh bảo mật đầy đủ của người dùng.
Tích hợp AI	Đã xác nhận ^[1]^[10]	Làm tăng độ phức tạp tổng thể và các điểm xâm nhập tiềm năng.
Sự ổn định trong tương lai	Suy đoán	Việc tiếp tục "WordPad hóa" có thể dẫn đến các lỗi tiếp theo ^[1]^[10].

Quyền hạn và Bối cảnh bảo mật

Một khía cạnh quan trọng của lỗi này là bối cảnh bảo mật mà mã độc hoạt động. Vì Notepad là một ứng dụng hệ thống đáng tin cậy, bất kỳ mã nào được thực thi thông qua lỗ hổng đều chạy với cùng mức quyền hạn như người dùng Windows đang hoạt động ^[1]^[5]^[7]. Nếu người dùng có đặc quyền quản trị, kẻ tấn công có thể giành được toàn quyền kiểm soát hệ thống ^[3]^[9].

Sự phụ thuộc vào Kỹ thuật xã hội

Mặc dù lỗi kỹ thuật tồn tại trong mã, việc khai thác CVE-2026-20841 yêu cầu sự tương tác của người dùng ^[1]^[6]. Kẻ tấn công dựa vào các chiến thuật kỹ thuật xã hội để lừa nạn nhân tải xuống tệp .md độc hại và thực hiện một Ctrl+Click vào một liên kết được định dạng ^[7]^[14]. Các nhà nghiên cứu lưu ý rằng mặc dù phương pháp này không "quá tinh vi", nhưng nó vẫn rất hiệu quả vì người dùng thường không mong đợi một trình chỉnh sửa văn bản lại gây ra rủi ro thực thi mã từ xa ^[6]^[10].

Bằng chứng và Kiểm chứng thực tế

Việc phát hiện ra CVE-2026-20841 đã được chứng thực bởi nhiều bản tin bảo mật chính thức và báo cáo kỹ thuật độc lập sau đợt Patch Tuesday tháng 2 năm 2026 ^[1]^[6]^[13]. Lỗ hổng này không chỉ là lý thuyết; nó được ghi nhận là một lỗi nghiêm trọng cao ảnh hưởng đến Ứng dụng Windows Notepad hiện đại ^[5]^[8].

Các báo cáo ngành đã được xác minh

Các cơ quan tin tức an ninh mạng lớn và các công ty nghiên cứu đã xác nhận các chi tiết kỹ thuật và tác động tiềm tàng của lỗi này:

Trung tâm Phản ứng Bảo mật Microsoft (MSRC): Đã chính thức công bố lỗ hổng vào ngày 10 tháng 2 năm 2026, phân loại nó là "Vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong một lệnh" ^[7]^[12].
The Register: Báo cáo rằng việc bổ sung hỗ trợ Markdown đã đưa vào một vector không ngờ tới cho việc thực thi mã từ xa (RCE), cho phép kẻ tấn công vượt qua các lời nhắc bảo mật tiêu chuẩn ^[1]^[9].
BleepingComputer: Đã xác minh rằng lỗi này cho phép ứng dụng khởi chạy các giao thức chưa được xác minh khi người dùng tương tác với một liên kết độc hại, có khả năng thực thi mã với quyền hạn cục bộ của người dùng ^[2]^[12].
Các nhà phân tích bảo mật: Các nhà nghiên cứu tại SOC Prime và các tổ chức khác đã lưu ý rằng khi các ứng dụng đơn giản có thêm các tính năng phong phú hơn, chúng thường thừa hưởng các rủi ro phức tạp ^[13]^[17].

Tóm tắt dữ liệu lỗ hổng

Sự đồng thuận trên các tài liệu kỹ thuật xác định các chỉ số cụ thể cho sự kiện bảo mật này:

Chỉ số	Chi tiết	Nguồn
Mã CVE	`CVE-2026-20841`	^[1]^[8]^[30]
Điểm CVSS	8.8 (Cao)	^[5]^[7]^[17]
Các phiên bản bị ảnh hưởng	`11.0.0` đến `11.2510`	^[8]^[14]^[15]
Vector chính	Mạng / Tương tác liên kết Markdown	^[12]^[24]
Tình trạng hiện tại	Đã vá lỗi (10 tháng 2, 2026)	^[6]^[13]

Sự thay đổi trong hồ sơ rủi ro của tiện ích

Các nhà phân tích trong ngành cho rằng sự kiện này đánh dấu một sự thay đổi đáng kể trong hồ sơ rủi ro đối với các tiện ích Windows tiêu chuẩn ^[8]. Theo truyền thống, Notepad được xem là một công cụ "vô hại" với bề mặt tấn công tối thiểu ^[8]^[14].

Các chuyên gia chỉ ra rằng việc "hiện đại hóa" các ứng dụng kế thừa này—thêm các tính năng như tab, tích hợp đám mây và viết hỗ trợ bởi AI—đã đưa vào các lỗ hổng thường liên quan đến trình duyệt web hoặc bộ ứng dụng văn phòng ^[4]^[8]. Mặc dù chưa có báo cáo xác nhận nào về việc lỗi này bị khai thác "ngoài thực tế" tính đến ngày 12 tháng 2 năm 2026, nhưng sự sẵn có của các chi tiết về mã khai thác thử nghiệm (PoC) cho thấy khả năng cao sẽ có các nỗ lực tấn công trong tương lai ^[1]^[8]^[14].

Tự kiểm tra và Chẩn đoán

Việc xác định xem hệ thống của bạn có dễ bị tấn công bởi CVE-2026-20841 hay không đòi hỏi phải xác minh cả môi trường hệ điều hành và phiên bản cụ thể của ứng dụng Windows Notepad. Vì lỗi này liên quan đến cách ứng dụng xử lý các liên kết Markdown, nên chỉ phiên bản ứng dụng "hiện đại" mới gặp rủi ro ^[1]^[9].

Bước 1: Xác định loại Notepad của bạn

Lỗ hổng này ảnh hưởng cụ thể đến phiên bản hiện đại của Notepad trên Microsoft Store (phiên bản 11.x) ^[7]^[31]. Phiên bản này là trình chỉnh sửa văn bản mặc định trên Windows 11 và có thể được cài đặt thủ công trên Windows 10 ^[7].

Phiên bản cũ của phần mềm, thường được gọi là notepad.exe, dường như không bị ảnh hưởng bởi vấn đề chèn lệnh cụ thể này ^[31]. Nếu phiên bản Notepad của bạn không có các tab hoặc biểu tượng bánh răng cài đặt, thì đó có thể là phiên bản cũ.

Bước 2: Xác minh phiên bản ứng dụng Notepad

Để kiểm tra phiên bản hiện tại của bạn, hãy mở ứng dụng Notepad và nhấp vào Cài đặt (biểu tượng bánh răng) ở góc trên bên phải. Cuộn xuống cuối menu để tìm phần "Giới thiệu về ứng dụng này" ^[7].

Trạng thái ứng dụng	Phạm vi phiên bản	Hành động yêu cầu
Dễ bị tổn thương	11.0.0 đến 11.2509	Cần cập nhật ngay lập tức ^[1]^[7].
Được bảo vệ	11.2510 hoặc cao hơn	Không cần thực hiện thêm hành động nào ^[7]^[10]^[31].

Nếu phiên bản của bạn nằm trong phạm vi dễ bị tổn thương, hệ thống của bạn có thể gặp rủi ro thực thi mã từ xa nếu một tệp .md độc hại được mở ^[1]^[12].

Bước 3: Kiểm tra lịch sử Windows Update

Microsoft đã phát hành bản sửa lỗi như một phần của chu kỳ Patch Tuesday tháng 2 năm 2026 ^[1]^[10]. Bạn nên xác minh rằng hệ thống của mình đã cài đặt thành công các bản cập nhật tích lũy được phát hành vào hoặc sau ngày 10 tháng 2 năm 2026 ^[12]^[20].

Mở Cài đặt và điều hướng đến Windows Update.
Chọn Lịch sử cập nhật.
Tìm các bản cài đặt thành công của KB5077181 hoặc KB5075912 ^[5]^[12].
Nếu thiếu các bản này, hãy nhấp vào Kiểm tra cập nhật để kích hoạt tải xuống.

Bước 4: Xác nhận cập nhật Microsoft Store

Vì Notepad hiện đại là một ứng dụng Microsoft Store, bản vá có thể được phân phối độc lập với các bản cập nhật Windows tiêu chuẩn ^[2]^[5]. Để đảm bảo bản sửa lỗi đã được áp dụng, hãy mở ứng dụng Microsoft Store, điều hướng đến Thư viện và nhấp vào Tải bản cập nhật ^[7]^[31].

Các báo cáo ngành cho thấy mặc dù Windows 11 thường tự động cập nhật các ứng dụng này, nhưng việc xác minh thủ công vẫn được khuyến nghị cho các hệ thống trong môi trường bảo mật cao ^[2]^[31]. Nếu bạn không thể cập nhật quá phiên bản 11.2509, lời khuyên chung là tránh nhấp vào các liên kết bên trong tệp Markdown cho đến khi bản vá có sẵn cho thiết bị của bạn ^[4]^[9].

Giải pháp và Những việc cần làm

Việc giải quyết lỗ hổng CVE-2026-20841 đòi hỏi sự kết hợp giữa cập nhật phần mềm ngay lập tức và thay đổi thói quen xử lý tệp. Vì lỗi này cho phép thực thi mã từ xa mà không có cảnh báo bảo mật tiêu chuẩn, các chuyên gia khuyên dùng cách tiếp cận đa lớp để bảo mật các hệ thống bị ảnh hưởng ^[2]^[9].

Cài đặt Bản cập nhật Bảo mật tháng 2 năm 2026

Giải pháp hiệu quả nhất là áp dụng bản vá chính thức do Microsoft phát hành vào ngày 10 tháng 2 năm 2026 ^[3]^[10]. Bản sửa lỗi này đã được bao gồm trong bản cập nhật tích lũy Patch Tuesday tháng 2 ^[1]^[15]. Để bảo mật hệ thống của bạn, hãy điều hướng đến menu Windows Update và kiểm tra các bản tải xuống có sẵn.

Ngoài các bản cập nhật hệ thống, phiên bản hiện đại của Notepad thường được cập nhật thông qua Microsoft Store ^[2]^[8]. Mặc dù các bản cập nhật này thường diễn ra tự động, người dùng có thể kích hoạt kiểm tra thủ công trong phần Thư viện của ứng dụng Store để đảm bảo họ không còn chạy phiên bản 11.2510 hoặc cũ hơn ^[4]^[9].

Xác minh phiên bản hiện tại

Người dùng nên xác nhận ứng dụng của mình đã được vá lỗi thành công để ngăn chặn khả năng bị khai thác. Lỗ hổng này được báo cáo là ảnh hưởng đến tất cả các phiên bản từ 11.0.0 đến các phiên bản trước 11.2510 ^[1]^[4]. Để kiểm tra phiên bản của bạn:

Mở Notepad.
Nhấp vào Cài đặt (biểu tượng bánh răng) ở góc trên bên phải.
Cuộn xuống dưới cùng để tìm số phiên bản.

Áp dụng các quy trình xử lý tệp an toàn

Cho đến khi hệ thống được cập nhật đầy đủ, điều quan trọng là phải xử lý tất cả các tệp Markdown (.md) với sự thận trọng tương tự như các chương trình thực thi ^[10]^[13]. Các thực hành sau đây giúp giảm thiểu đáng kể rủi ro của một cuộc tấn công thành công:

Tránh các liên kết chưa được xác minh: Không sử dụng Ctrl+click vào các liên kết bên trong tệp Markdown trừ khi nguồn hoàn toàn đáng tin cậy ^[4]^[12].
Cảnh giác với Kỹ thuật xã hội: Hãy thận trọng với các tệp đến qua email không mong muốn hoặc từ các trang web không đáng tin cậy, vì cuộc tấn công yêu cầu "sự tương tác có chủ ý của người dùng" để thành công ^[7]^[11].
Quan sát các lời nhắc cảnh báo: Sau khi bản vá được áp dụng, Notepad sẽ hiển thị hộp thoại cảnh báo cho các giao thức không tiêu chuẩn như file:, ms-appinstaller:, hoặc ms-settings: ^[2]. Nếu cảnh báo xuất hiện, không nhấp vào "Có" trừ khi bạn chắc chắn tệp đó an toàn ^[2].

So sánh các trạng thái bảo mật

Bảng dưới đây minh họa cách ứng dụng hoạt động trước và sau khi can thiệp bảo mật vào tháng 2 năm 2026:

Tính năng	Trước khi vá lỗi (v11.2510 và cũ hơn)	Sau khi vá lỗi (Phiên bản hiện tại)
Thực thi liên kết	Các liên kết như `file://` thực thi âm thầm không cảnh báo ^[9]^[12]	Hệ thống kích hoạt hộp thoại cảnh báo cho các URL không tiêu chuẩn ^[2]
Quyền hạn người dùng	Mã độc chạy với đầy đủ đặc quyền của người dùng ^[1]^[11]	Việc thực thi bị chặn trừ khi người dùng bỏ qua cảnh báo thủ công ^[2]^[9]
Hỗ trợ giao thức	Tự động khởi chạy các giao thức chưa được xác minh ^[4]^[13]	Hạn chế tự động khởi chạy các URI có khả năng gây nguy hiểm ^[2]

Mặc dù bản cập nhật dường như giải quyết được vấn đề chính, một số nhà phân tích trong ngành gợi ý rằng những người dùng yêu cầu môi trường bảo mật cao có thể cân nhắc sử dụng các trình chỉnh sửa văn bản thuần túy thay thế không hỗ trợ hiển thị Markdown cho đến khi họ xác minh được bản vá đã hoạt động trên tất cả các thiết bị được quản lý ^[1]^[3].

Giới hạn rủi ro và Khi nào nên dừng lại

Việc không cập nhật Windows Notepad lên phiên bản 11.2510 hoặc cao hơn sẽ khiến hệ thống dễ bị tấn công bởi Thực thi mã từ xa (RCE) ^[4]^[9]^[14]. Vì mã độc thực thi trong bối cảnh bảo mật của người dùng đang đăng nhập, bất kỳ kẻ tấn công nào khai thác thành công lỗi này đều thừa hưởng các quyền cụ thể của người dùng đó ^[1]^[7]^[11]. Nếu một tài khoản có quyền quản trị được sử dụng để mở một tệp Markdown độc hại, kẻ tấn công có thể giành được toàn quyền kiểm soát hệ điều hành ^[7]^[14].

Rủi ro chính liên quan đến việc thực thi âm thầm các giao thức chưa được xác minh ^[3]^[9]. Không giống như các liên kết web thông thường kích hoạt cảnh báo bảo mật của trình duyệt, các liên kết độc hại này có thể khởi chạy các tệp thực thi hoặc cài đặt ứng dụng mà không có bất kỳ thông báo nào cho người dùng ^[3]^[15]. Mặc dù Microsoft đã đưa vào các cảnh báo trong bản cập nhật mới nhất, các chiến thuật kỹ thuật xã hội vẫn có thể lừa người dùng nhấp vào "Có" trên các lời nhắc bảo mật ^[3]^[5]^[12].

Các rủi ro hệ thống nghiêm trọng

Nếu lỗ hổng CVE-2026-20841 bị khai thác, các tác động sau đây có thể xảy ra:

Leo thang đặc quyền: Kẻ tấn công có thể chuyển từ quyền truy cập người dùng tiêu chuẩn sang đặc quyền SYSTEM trong một số môi trường ^[8].
Triển khai phần mềm độc hại: Lỗi này có thể được sử dụng như một điểm xâm nhập để cài đặt từ xa ransomware hoặc phần mềm đánh cắp thông tin ^[7]^[15].
Trích xuất dữ liệu: Kẻ tấn công có thể giành được quyền truy cập trái phép vào các tệp cục bộ và các thông tin đăng nhập nhạy cảm ^[8]^[14].
Truy cập lâu dài: Các tác nhân đe dọa có thể sửa đổi cấu hình dịch vụ để đảm bảo chúng duy trì quyền truy cập ngay cả sau khi tệp ban đầu đã được đóng ^[8].

Khi nào cần tìm kiếm sự hỗ trợ chuyên nghiệp

Việc áp dụng bản vá bảo mật tháng 2 năm 2026 giúp ngăn chặn các cuộc khai thác trong tương lai nhưng không loại bỏ các lây nhiễm hiện có nếu hệ thống đã bị xâm nhập trước khi cập nhật ^[4]^[6]. Bạn nên tìm kiếm sự hỗ trợ kỹ thuật chuyên nghiệp nếu quan sát thấy bất kỳ hiện tượng nào sau đây:

Hoạt động trái phép: Trước đó bạn đã mở một tệp Markdown trong Notepad và nhận thấy các cửa sổ dấu nhắc lệnh (command prompt) xuất hiện bất ngờ hoặc các thay đổi về tệp ^[3].
Công cụ bảo mật bị lỗi: Phần mềm diệt virus hoặc tường lửa của bạn dường như bị vô hiệu hóa hoặc thường xuyên bị treo mà không có lời giải thích ^[8].
Lưu lượng mạng không giải thích được: Một lượng lớn dữ liệu đang được tải lên các máy chủ từ xa không xác định ^[7]^[9].
Bất thường về tài khoản: Các tài khoản người dùng mới xuất hiện trong nhóm Administrator mà bạn không hề tạo ^[8].

Cảnh báo: Việc cố gắng gỡ bỏ thủ công phần mềm độc hại ăn sâu hoặc "đảo ngược" một cuộc khai thác RCE mà không có các công cụ pháp lý phù hợp có thể dẫn đến mất dữ liệu vĩnh viễn hoặc để lại các cửa sau (backdoor) ẩn trên hệ thống ^[8]^[14].

Hạn chế của bản cập nhật

Bản vá mới nhất giúp giảm thiểu đáng kể rủi ro bằng cách hiển thị các cảnh báo cho các giao thức không tiêu chuẩn như file: hoặc ms-appinstaller: ^[3]. Tuy nhiên, nó không chặn hoàn toàn các liên kết này ^[3]. Tính bảo mật của hệ thống vẫn phụ thuộc vào khả năng nhận biết và từ chối các yêu cầu tương tác đáng ngờ của người dùng ^[1]^[12]. Ngoài ra, người dùng các phiên bản cũ của notepad.exe (phiên bản không phải từ Store) nên thận trọng vì các tính năng và phương thức phân phối bản vá có thể khác với ứng dụng Windows 11 hiện đại ^[14].

Câu hỏi thường gặp (FAQ)

Notepad++ có bị ảnh hưởng bởi lỗ hổng cụ thể này không?

Không, lỗ hổng CVE-2026-20841 chỉ dành riêng cho ứng dụng Windows 11 Notepad tích hợp sẵn ^[1]^[6]. Mặc dù trình chỉnh sửa của bên thứ ba Notepad++ gần đây đã báo cáo các vấn đề bảo mật riêng biệt liên quan đến các dịch vụ cập nhật bị xâm nhập ^[3]^[11], nó không bị ảnh hưởng bởi lỗi thực thi liên kết Markdown cụ thể này ^[7]^[8].

Tôi có thể xóa Notepad để tránh rủi ro không?

Mặc dù Notepad có thể được gỡ cài đặt trong Windows 11, nhưng đây là một ứng dụng hệ thống cốt lõi thường được hệ điều hành sử dụng để xem nhật ký (log) và các tệp cấu hình. Các chuyên gia trong ngành gợi ý rằng việc cập nhật ứng dụng thông qua Microsoft Store là một giải pháp hiệu quả hơn so với việc gỡ bỏ ^[2]^[8]. Các phiên bản mới nhất giảm thiểu lỗi bằng cách kích hoạt các cảnh báo bảo mật khi các giao thức không tiêu chuẩn được truy cập ^[2].

Lỗi bảo mật này có ảnh hưởng đến người dùng Windows 10 không?

Lỗi nghiêm trọng cao này chủ yếu liên quan đến phiên bản hiện đại hóa của Notepad dành riêng cho Windows 11, vốn đã đưa vào hỗ trợ Markdown gốc ^[1]^[6]. Tuy nhiên, vì Microsoft đã phát hành một loạt các bản sửa lỗi bảo mật cho cả Windows 10 và Windows 11 trong đợt Patch Tuesday tháng 2 năm 2026, tất cả người dùng được khuyến khích duy trì các bản cập nhật hệ thống hiện tại để ngăn chặn các rủi ro thực thi mã từ xa liên quan ^[4]^[15].

Markdown là gì?

Markdown là một ngôn ngữ đánh dấu nhẹ cho phép người dùng thêm định dạng vào các tệp văn bản thuần túy bằng các ký hiệu đơn giản ^[1]^[9]. Nó thường được sử dụng cho:

Văn bản in đậm: Được tạo bằng cách thêm hai dấu sao (ví dụ: **text**) ^[1]^[6].
Văn bản in nghiêng: Được tạo bằng cách thêm một dấu sao hoặc dấu gạch dưới ^[1]^[15].
Các liên kết có thể nhấp vào: Được biểu thị bằng dấu ngoặc vuông và dấu ngoặc đơn (ví dụ: [Link](URL)) ^[1]^[2].

Lỗ hổng xảy ra vì Notepad đã hiển thị các liên kết này không đúng cách, cho phép chúng thực thi các chương trình cục bộ hoặc từ xa mà không có thông báo cho người dùng ^[2]^[6]^[13].

Làm thế nào tôi có thể biết phiên bản Notepad của mình có an toàn không?

Các báo cáo về lỗ hổng chỉ ra rằng các phiên bản Windows 11 Notepad từ 11.2510 trở về trước dễ bị ảnh hưởng bởi lỗi này ^[2]^[6]^[15]. Người dùng có thể kiểm tra số phiên bản của mình trong phần cài đặt ứng dụng. Nếu phiên bản của bạn cao hơn 11.2510, các giao thức bảo mật nhắc xác nhận trước khi mở các liên kết không tiêu chuẩn sẽ được kích hoạt ^[2]^[8].

Tóm tắt và Các điểm chính cần lưu ý

Những diễn biến bảo mật gần đây liên quan đến Windows Notepad làm nổi bật cách ngay cả những ứng dụng cơ bản nhất cũng có thể trở thành mục tiêu khi các tính năng mới được thêm vào. Hiểu được phạm vi của lỗ hổng này là điều cần thiết để duy trì một môi trường máy tính an toàn.

Lỗ hổng, được xác định là CVE-2026-20841, là một lỗi Thực thi mã từ xa (RCE) mức độ nghiêm trọng cao với điểm CVSS là 8.8 ^[1]^[6]^[7]. Nó có khả năng cho phép các tác nhân trái phép thực thi mã qua mạng với cùng quyền bảo mật như người dùng đang hoạt động ^[1]^[8]^[15].
Lỗi này bắt nguồn cụ thể từ tính năng hỗ trợ Markdown tương đối mới của ứng dụng, vốn được đưa vào để cho phép tạo bảng và định dạng văn bản ^[1]^[6]^[9]. Các liên kết độc hại được nhúng trong các tệp .md có thể được sử dụng để khởi chạy các giao thức chưa được xác minh, tải và thực thi các tệp từ xa mà không có cảnh báo hệ điều hành tiêu chuẩn ^[2]^[7]^[13].
Cài đặt bản cập nhật bảo mật Patch Tuesday tháng 2 năm 2026 hoặc cập nhật ứng dụng thông qua Microsoft Store là giải pháp khắc phục vĩnh viễn duy nhất đã được xác minh ^[1]^[13]^[15]. Vì Windows 11 bao gồm Notepad như một thành phần tiêu chuẩn, lỗi này có khả năng ảnh hưởng đến một số lượng lớn các hệ thống nếu không được vá lỗi ^[2]^[5]^[14].

Nếu bạn không chắc chắn về tính bảo mật của hệ thống hoặc nghi ngờ có khả năng bị xâm nhập, việc hỏi ý kiến chuyên gia để được tư vấn một lần thường sẽ rẻ hơn so với việc cố gắng sửa chữa một sai lầm bảo mật nghiêm trọng sau này.

Nguồn tham khảo

^[1] Notepad

^[2] Lỗi Notepad trên Windows 11 cho phép tệp thực thi âm thầm qua liên kết Markdown

^[3] Định dạng, bảng, Copilot và giờ là lỗ hổng bảo mật xếp hạng cao: Win...

^[4] Microsoft sửa lỗi Notepad có thể lừa người dùng nhấp vào liên kết Markdown độc hại...

^[5] Sử dụng Notepad

^[6] Microsoft phát hành bản cập nhật bảo mật mở rộng Windows 10 KB5075912

^[7] Windows Notepad hiện đã đủ phức tạp để có một lỗi bảo mật nghiêm trọng

^[8] Microsoft đưa ra cảnh báo bảo mật mới cho Windows 10. Đây là những gì bạn cần...

^[9] Microsoft vá lỗi bảo mật Notepad trên Windows 11 đáng lo ngại

^[10] Phát hành bản cập nhật tích lũy Windows 11 KB5077181 & KB5075941

^[11] Microsoft Patch Tuesday tháng 2 năm 2026 sửa 6 lỗi zero-day, 58 lỗ hổng

^[12] Microsoft vá 59 lỗ hổng bao gồm sáu lỗi Zero-Day đang bị khai thác tích cực

^[13] Windows 11 phiên bản 26H1 sẽ không

^[14] Cửa sau trong Notepad++ - Schneier về Bảo mật

^[15] Microsoft cho biết tin tặc đang khai thác các lỗi zero-day nghiêm trọng để nhắm vào Window...

^[16] Báo cáo Tình trạng Bảo mật năm 2026 của Recorded Future cảnh báo các hoạt động mạng đã trở nên...

^[17] CVE-2026-20841: RCE trên Windows Notepad đã được khắc phục trong Patch Tuesday tháng 2 của Microsoft...

^[18] Microsoft Patch Tuesday tháng 2 năm 2026 — Các quy tắc Snort và các lỗ hổng nổi bật...

^[19] Đánh giá cập nhật bảo mật Microsoft và Adobe Patch Tuesday, tháng 2 năm 2026 | Qualys

^[20] Microsoft vá lỗi thực thi mã từ xa mức độ nghiêm trọng cao trên Notepad

^[21] Lỗ hổng Windows Notepad cho phép kẻ tấn công thực thi mã độc từ xa...

^[22] Cập nhật bảo mật Microsoft tháng 2 năm 2026

^[23] Các tác nhân quốc gia khai thác chuỗi cung ứng Notepad++

^[24] CVE-2026-20841: Cái chết bởi Notepad: Khi một trình chỉnh sửa văn bản trở thành một Shell từ xa -...

^[25] Microsoft bịt lỗ hổng thực thi từ xa trong ứng dụng Notepad trên Windows 11

^[26] Microsoft sửa lỗi bảo mật Notepad 'Lớn' trong Windows 11 cho phép tin tặc...

^[27] Microsoft sửa lỗi Windows 11 Notepad nghiêm trọng

^[28] Lỗi Notepad mới cho phép tin tặc thực thi mã qua tệp Markdown - Cyber Ke...

^[29] Lỗ hổng Windows Notepad cho phép kẻ tấn công thực thi mã từ xa | Cry...

^[30] Cảnh báo CVE: CVE-2026-20841 - Microsoft - Windows Notepad - RedPacket Security

^[31] Microsoft vá lỗi Notepad nghiêm trọng có thể chiếm quyền điều khiển PC Windows

^[32] Tính năng Markdown của Windows Notepad mở cửa cho RCE (CVE-2026-20841) - Help Ne...

^[33] Microsoft xác nhận vấn đề bảo mật xếp hạng 8.8 trong Windows 11 Notepad do hiện đại hóa...

^[34] Tóm tắt cập nhật bảo mật Microsoft (10 tháng 2, 2026)

^[35] Patchday: Cập nhật Windows 10/11 (10 tháng 2, 2026)

^[36] Microsoft Notepad: Lỗ hổng bảo mật nghiêm trọng trong trình chỉnh sửa văn bản Windows - BornCity

^[37] Các tính năng bảo mật mới của Windows: „Windows Baseline Security Mode“ và „Use...

^[38] Windows 11 26H1: Hệ thống mới của Microsoft chỉ dành cho phần cứng mới - BornCity

^[39] Windy city: "Cuối cùng họ đã làm được. Microsoft đã thành công o…" - ...

^[40] Threads

^[41] Lỗ hổng bảo mật nghiêm trọng của Windows Notepad: Khi các trình chỉnh sửa văn bản đơn giản trở thành...

^[42] Microsoft vá các lỗi zero-day trong bản cập nhật Windows mới nhất

^[43] Lỗ hổng Windows Notepad nghiêm trọng đã được vá: Những gì người dùng cần biết

^[44] Hồ sơ XFN 1.1

^[45] fonts.googleapis.com

^[46] GitHub - BTtea/CVE-2026-20841-PoC: PoC

^[47] BleepingComputer (@[email protected]) - Infosec Exchange

Relevant Services

Brauchen Sie Hilfe?

Wir reparieren Ihren PC oder Laptop schnell und zuverlässig.

Jetzt Reparatur anfragen