Falha grave no Bloco de Notas dá controle total do PC a hackers

Uma falha de segurança crítica no Bloco de Notas do Windows chamou a atenção de especialistas nesta semana.

• Bug no Windows 11 faz Bloco de Notas e outros apps pararem de funcionar
• Apps stalkerware podem expor seus dados; veja por que você nunca deve usá-los

Batizada de CVE-2026-20841, a vulnerabilidade consiste em uma execução remota de código que permite o controle total do computador por cibercriminosos. O erro encontrado está na maneira como a plataforma processa alguns comandos, que podem sofrer uma injeção código malicioso.

A exploração da falha foi descoberta durante uma atualização de segurança realizada no começo de fevereiro, alguns meses depois que a Microsoft adicionou um suporte ao Markdown no Bloco de Notas. A boa notícia é que a empresa já disponibilizou uma correção para solucionar o caso.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Arquivo comprometido

Antes de ser corrigida, a falha no Bloco de Notas foi explorada por criminosos a partir do envio de um arquivo Markdown comprometido. O esquema seguia táticas de phishing comuns para induzir o usuário a clicar em um link malicioso que vinha embutido.

Uma vez que essa ação se concretizava, os hackers conseguiam executar protocolos não verificados no sistema com base em permissões da vítima. Assim, era possível controlar totalmente o computador visado, obtendo acesso a informações pessoais do alvo sem acionar qualquer tipo de alerta de segurança no sistema.

Pelo que se sabe sobre o caso, a versão clássica do Bloco de Notas parece não ter sofrido danos com a exploração, com os ataques afetando versões mais recentes e com mais funcionalidades disponíveis.

Atualização urgente

Para solucionar o problema, a Microsoft lançou uma atualização urgente para a versão 11.2510 ou superiores do Bloco de Notas, recomendando que os usuários façam o upgrade o quanto antes.

A empresa também ressalta que o usuário deve manter cautela no momento de interagir com mensagens suspeitas, jamais clicando em links desconhecidos.

Leia também:

• Bug em ransomware faz grupo perder chaves e destrói dados hackeados para sempre
• Antivírus falso no Android rouba senhas bancárias em vez de proteger
• Mude a senha: Flickr avisa usuários sobre vazamento generalizado de dados