Windows 메모장 앱 원격 코드 실행 취약점 CVE-2026-20841

 (cve.org)
3P by GN⁺ 3시간전 | ★ favorite | 댓글 4개
  • Windows 메모장 앱에서 명령 주입(command injection) 취약점이 발견되어, 원격에서 코드 실행이 가능한 것으로 보고됨
  • 인증되지 않은 공격자가 네트워크를 통해 악성 명령을 실행할 수 있는 구조로, 사용자 개입이 필요
  • 취약점은 Windows Notepad 버전 11.0.0부터 11.2510 이전 버전까지 영향을 받음
  • CVSS 3.1 기준 점수 8.8 (높음) 으로 평가되었으며, 기밀성·무결성·가용성 모두 높은 영향도를 가짐
  • Microsoft가 CVE-2026-20841로 등록했으며, 보안 패치 및 권고문이 MSRC(Microsoft Security Response Center) 를 통해 제공됨

CVE-2026-20841 개요

  • 이 취약점은 Windows Notepad App에서 발생한 명령 주입 취약점(CWE-77) 으로 분류됨
    • 특수 문자의 부적절한 중화로 인해 명령이 조작될 수 있음
    • 공격자는 네트워크를 통해 원격 코드 실행을 수행할 수 있음
  • CNA(공식 등록 기관) 는 Microsoft Corporation이며, CVE는 2026년 2월 10일 공개, 2월 11일 갱신됨

기술 세부 정보

  • 취약점 유형: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • 영향 범위: Windows Notepad 11.0.0 이상 11.2510 미만 버전
  • CVSS 3.1 평가:
    • 점수: 8.8 (High)
    • 벡터: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • 네트워크 접근 가능, 낮은 복잡도, 사용자 상호작용 필요

영향 및 위험도

  • 공격자는 인증 없이 원격에서 코드 실행이 가능
  • 시스템의 기밀성(C), 무결성(I), 가용성(A) 모두 높은 수준의 영향을 받음
  • 취약점의 기본 상태는 “affected”로 표시되어 있으며, 영향받는 버전은 명시됨

참고 자료 및 대응

요약

  • CVE-2026-20841은 Windows 메모장 앱의 원격 코드 실행 취약점으로, 높은 심각도(8.8점)를 가진 보안 문제임
  • Microsoft가 공식적으로 등록 및 패치를 진행 중이며, 사용자는 최신 버전으로 업데이트해야 함
  • 본 취약점은 명령 주입을 통한 공격 가능성을 내포하며, 네트워크 기반 공격에 노출될 수 있음
mammal 3시간전  [-]

제발 OS와 브라우저 같은 펀더멘털한 부분은 클라우드 / AI / 연동 이런 쓰레기들 없이 기본만 제공하면 좋겠습니다.

벤더 기능은 그 위에 레이어로 제공해도 충분 할텐데...

답변달기
ssolarsystem 2시간전  [-]

워드패드가 삭제되면서 워드프로세서에 넣기 애매한 서식 텍스트를 마크다운으로 넣었다보니 사건이 났나보네요 설정가서 AI와 포맷팅기능 다 끄는 게 보안상 낫지 않을까합니다

답변달기
GN⁺ 3시간전  [-]
Hacker News 의견들

  • 2025년 주주 보고서를 보면, Windows는 수익원 순위에서 5위로, LinkedIn보다도 아래에 있음
    이제 Microsoft가 Windows나 Notepad에 신경을 쓰지 않는 것 같음

    • Windows는 그들의 트로이 목마 같은 존재임
    • 보고서에는 수익이 세 가지 카테고리로 나뉘어 있음 — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — Windows는 세 번째 그룹의 일부일 뿐임. 그런데 어떻게 5위라고 판단한 건지 궁금함
    • Microsoft는 곧 Windows 그 자체임. Office는 대체제가 많고, AI 모델도 없으며, Github는 불안정하고, Azure는 형편없고, Xbox는 망했음. Windows가 죽으면 그 위에 얹힌 모든 것들도 함께 사라질 것임

  • 문제의 핵심은 링크 처리
    CVE-2026-20841에 따르면, 공격자가 Markdown 파일 안의 악성 링크를 클릭하게 유도하면, Notepad가 검증되지 않은 프로토콜을 실행해 원격 파일을 불러올 수 있음

    • Notepad가 링크를 처리한다니, 마치 연필에 잉크 로딩 취약점이 있는 것 같은 느낌임. 예전의 “Microsoft가 자동차를 만든다면” 농담이 현실이 된 셈임 (관련 링크)
    • 이게 정말 큰 문제인지 모르겠음. 클릭 가능한 링크를 렌더링하는 모든 앱—브라우저나 이메일 클라이언트 등—에서도 생길 수 있는 문제 아닌가 싶음
    • “unverified protocols”가 뭔지 궁금함. Windows에 exe:// 같은 URL 스킴이 있어서 실행 파일을 바로 불러오는 건가?

  • 예전에 Windows 98 Notepad를 찾아서 Windows 11에서 실행해봤는데 완벽히 작동함. 텍스트 입력, 저장, 불러오기 다 됨. 그 이상 뭘 더 바랄 게 있나 싶음. 게다가 폰트도 향수를 자극함

    • Win9x Notepad는 64KB까지만 열 수 있고 ANSI 인코딩만 지원함. 이후 버전에서 LF 지원 같은 유용한 개선이 있었지만, Windows 11의 추가 기능들은 전부 불필요한 부하
    • 나는 Windows 7에서 notepad.exe, calc.exe, mspaint.exe를 추출해서 Windows 11에서 쓰고 있음. 완벽히 작동함
    • “About Notepad” 창에 Windows 11 버전이 표시되는 이유는, 프로그램이 Windows API를 호출해 시스템 버전을 표시하기 때문임
    • 사실 Windows 11에도 옛 notepad.exe가 여전히 있음. 다만 실행 시 새 앱으로 리디렉션될 뿐임. 설정의 “App execution aliases”를 끄면 예전 Notepad를 그대로 쓸 수 있음
    • 그 버전으로 Copilot 365용 Notepad Copilot을 어떻게 쓰는지 궁금함

  • 며칠 전에는 Notepad++가 국가 단위 공격자에게 침해당했고, 오늘은 Windows 내장 Notepad에 CVE가 나왔음. 이제는 Windows를 완전히 지워버려야 하나 싶음. 샌드박싱도 없고, 레거시 코드의 산

    • 기술적으로 보면 Unix 계열도 레거시 덩어리지만, Windows는 그냥 쓰레기 산
    • Notepad++ 사건은 중국계 공격 그룹이 호스팅 제공업체를 침해한 것임. 업데이트 검증도 개선됐고, scoop 같은 대안도 있음. 공격은 매우 제한적이었고 IOC도 이미 공개됨
    • 실제 침해는 며칠 전이 아니라 몇 달 전에 일어났고, 몇 주간 지속됐음
    • 나는 Windows용 gvim을 Notepad 대체로 씀. 플러그인 없이도 충분함
    • 이제 남은 건 마우스 아이콘 RCE뿐임. 그때가 진정한 절정일 듯함

  • 우리는 이제 기능 과잉 → 취약점이라는 파이프라인의 논리적 결말에 도달했음
    30년 동안 Notepad는 단순한 텍스트 뷰어의 표준이었는데, 이제 8.8 CVSS 점수를 받는 건 최소 권한 원칙의 붕괴임. “이 기능을 추가할 수 있을까?”가 아니라 “이 텍스트 편집기에 네트워크 렌더링 스택이 필요한가?”를 물어야 함

    • 거기서 멈추지 않고 “AI가 필요할까?”까지 물었고, 틀린 답을 냈음
    • 물론 예전에도 Notepad에는 “Bush hid the facts” 같은 황당한 버그가 있었음. 당시엔 유니코드와 인코딩이 어려운 문제였고, 지금은 다른 전쟁을 치르고 있을 뿐임
    • 나도 완전히 동의함. 네트워크 스택을 가진 텍스트 에디터는 취약점의 온상임. 그래서 나는 Rust로 로컬 전용 텍스트 에디터를 직접 만들었음. 네트워크 권한 없음, 암호화 저장, FIPS 호환 OpenSSL 사용. FIPSPad에서 확인 가능함
    • 하지만 이번 버그는 네트워크 렌더링 스택이나 AI와는 관련 없어 보임. MSRC에 따르면, 공격자가 Markdown 파일 내 링크를 클릭하게 유도해 원격 파일을 실행시키는 문제임. 예를 들어 \\evil.example\virus.exe 같은 링크를 클릭하면 실행되는 식임
    • 문제는, Microsoft가 네트워크 렌더링 스택을 추가했다는 걸 인식했는지조차 의문임

  • 웃긴 건, 브라우저들은 이미 오래전에 프로토콜 실행 전 사용자 경고를 도입했는데, Microsoft는 Notepad에 클릭 가능한 링크를 추가하면서 그걸 완전히 건너뛰었음. 기능 과잉의 문제가 아니라, 이미 해결된 문제를 다시 발명하면서 보호장치를 빼먹은 것

  • “Markdown 파일 안의 악성 링크를 클릭하면 원격 파일이 실행된다”는 걸 보고 놀랐음. Notepad가 Markdown을 렌더링한다는 걸 몰랐음

    • Notepad가 다른 포맷을 렌더링하기 시작하면, 내가 Notepad를 쓰는 이유—즉 서식 제거용 도구로서의 순수함—이 사라짐. Notepad의 마법은 마케팅 팀의 포맷팅을 무시하는 그 단순함에 있었음
    • 아마 최근에 추가된 기능 같음. 매일 쓰는데 지난주에 처음 Markdown 렌더링을 봤음
    • “사기가 오를 때까지 고통은 계속된다”는 말이 떠오름

  • 예전처럼 Notepad가 그저 텍스트를 보여주는 도구였던 시절이 그리움

    • 그래서 나는 Notepad2를 씀. 예전 Notepad는 LF 줄바꿈을 제대로 표시하지 못했는데, Notepad2는 기능이 조금 더 있으면서도 여전히 가볍고 깔끔함
    • 예전 XP 시절엔 Metapad 같은 대안이 더 나았음

  • 이제는 Windows 자체를 버려야 할 때

    • 농담이 아니라, 올해 들어 “Windows가 너무 별로라서” Linux로 옮기는 사람들이 급증했음. 나도 작년에 그랬음. 수십 년간 “그럭저럭 괜찮지” 하다가 이제는 “이건 도저히 안 되겠다”로 바뀜

  • Notepad의 역할은 텍스트 표시 하나였는데, Microsoft는 거기에 공격 표면을 추가했음.
    “Linux 데스크톱의 해”가 올 필요도 없음 — Windows가 계속 이런 식이면 그 자체로 충분함

    • 하지만 실제로는 Mac OS의 시대가 올 듯함. M 시리즈 칩이 저가형까지 퍼지면 모두 그쪽으로 옮길 것임
답변달기