Windows 11 ile birlikte çevrimiçi ve yapay zekâ destekli özellikler kazanan Not Defteri uygulamasında kritik seviyede bir güvenlik açığı ortaya çıkarıldı. Tespit edilen bu açık, kullanıcıların yalnızca özel olarak hazırlanmış bir metin dosyasına tıklamasıyla sistemin uzaktan kontrol edilmesine imkân tanıyor.
Tek tıkla uzaktan kod çalıştırma riski
CVE-2026-20841 koduyla kayda geçen güvenlik zafiyeti, 10 üzerinden 8.8 gibi yüksek bir risk puanına sahip. Açığın özellikle Markdown uzantılı metin dosyaları üzerinden tetiklendiği belirtiliyor.
Windows sistemlerinde varsayılan olarak Not Defteri ile açılan bu dosyalara eklenen zararlı bağlantılar, kullanıcı tarafından tıklandığında uygulamanın doğrulanmamış protokolleri çalıştırmasına neden oluyor. Bu durum, internet üzerinden kötü amaçlı yazılımların indirilmesi ve çalıştırılmasıyla sonuçlanabiliyor.
Ek izin gerektirmeden istismar ediliyor
Yapılan güvenlik analizlerine göre saldırganlar, herhangi bir ek yetki talep etmeden, yalnızca tek bir etkileşimle kullanıcı yetkileri seviyesinde uzaktan kod çalıştırabiliyor. Açık, komut enjeksiyonu sınıfında değerlendiriliyor ve kişisel ile hassas verilere erişim riskini de beraberinde getiriyor.
Yapay zekâ ve ağ özellikleri eleştiriliyor
Güvenlik araştırmacıları, Windows 11 ile Not Defteri’ne eklenen ağ bağlantılı ve yapay zekâ tabanlı işlevlerin saldırı yüzeyini genişlettiğine dikkat çekiyor. Uzmanlar, temel bir metin düzenleyicinin bu tür yeteneklere ihtiyaç duymadığını ve söz konusu eklemelerin yeni güvenlik riskleri doğurduğunu ifade ediyor. Bazı değerlendirmelerde ise Not Defteri’nin artık “basit bir metin aracı” kimliğinden uzaklaştığı vurgulanıyor.
Güncelleme yayımlandı
Microsoft, söz konusu güvenlik açığını aylık güvenlik güncellemesi (Patch Tuesday) kapsamında giderdi. Yayınlanan pakette, aktif olarak istismar edilen altı sıfır gün açığı da dâhil olmak üzere yaklaşık 50 farklı güvenlik düzeltmesi yer alıyor.
Yetkililer, kullanıcıların sistemlerini en kısa sürede güncellemeleri gerektiğinin altını çiziyor.
Tek tıkla uzaktan kod çalıştırma riski
CVE-2026-20841 koduyla kayda geçen güvenlik zafiyeti, 10 üzerinden 8.8 gibi yüksek bir risk puanına sahip. Açığın özellikle Markdown uzantılı metin dosyaları üzerinden tetiklendiği belirtiliyor.
Windows sistemlerinde varsayılan olarak Not Defteri ile açılan bu dosyalara eklenen zararlı bağlantılar, kullanıcı tarafından tıklandığında uygulamanın doğrulanmamış protokolleri çalıştırmasına neden oluyor. Bu durum, internet üzerinden kötü amaçlı yazılımların indirilmesi ve çalıştırılmasıyla sonuçlanabiliyor.
Ek izin gerektirmeden istismar ediliyor
Yapılan güvenlik analizlerine göre saldırganlar, herhangi bir ek yetki talep etmeden, yalnızca tek bir etkileşimle kullanıcı yetkileri seviyesinde uzaktan kod çalıştırabiliyor. Açık, komut enjeksiyonu sınıfında değerlendiriliyor ve kişisel ile hassas verilere erişim riskini de beraberinde getiriyor.
Yapay zekâ ve ağ özellikleri eleştiriliyor
Güvenlik araştırmacıları, Windows 11 ile Not Defteri’ne eklenen ağ bağlantılı ve yapay zekâ tabanlı işlevlerin saldırı yüzeyini genişlettiğine dikkat çekiyor. Uzmanlar, temel bir metin düzenleyicinin bu tür yeteneklere ihtiyaç duymadığını ve söz konusu eklemelerin yeni güvenlik riskleri doğurduğunu ifade ediyor. Bazı değerlendirmelerde ise Not Defteri’nin artık “basit bir metin aracı” kimliğinden uzaklaştığı vurgulanıyor.
Güncelleme yayımlandı
Microsoft, söz konusu güvenlik açığını aylık güvenlik güncellemesi (Patch Tuesday) kapsamında giderdi. Yayınlanan pakette, aktif olarak istismar edilen altı sıfır gün açığı da dâhil olmak üzere yaklaşık 50 farklı güvenlik düzeltmesi yer alıyor.
Yetkililer, kullanıcıların sistemlerini en kısa sürede güncellemeleri gerektiğinin altını çiziyor.