Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker. Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter.
Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker
Microsoft har tettet et sikkerhetshull i den moderne Notepad-appen (den som kommer fra Microsoft Store – ikke den gamle, klassiske Notepad.exe). Sårbarheten har fått en CVSS-score på 8,8 og kan i verste fall la en angriper kjøre vilkårlig kode på maskinen din.
Feilen (CVE-2026-20841) er i bunn og grunn et command injection-problem. Den oppstår når Notepad åpner Markdown-filer (.md) med spesielt utformede lenker. Klikker du på en slik lenke, kan Notepad bli lurt til å starte uverifiserte protokoller som henter og kjører ondsinnet kode fra en ekstern server. Angriperen får da samme tilgangsnivå som deg, og har du høye rettigheter, kan skadepotensialet bli stort.
Fiksen kom som en del av Patch Tuesday 10. februar 2026.
Kun den moderne Notepad-appen fra Microsoft Store, i versjoner eldre enn build 11.2510. Bruker du fortsatt den klassiske Notepad.exe, er du ikke berørt.
Oppdater Notepad via Microsoft Store til versjon 11.2510 eller nyere Sjekk at automatiske app-oppdateringer er aktivert Vær forsiktig med å åpne ukjente Markdown-filer eller klikke på lenker i dem før du har oppdatert Microsoft sier det foreløpig ikke er sett aktiv utnyttelse, men lav angrepskompleksitet gjør dette til noe du bør prioritere å patche raskt.
Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter
Apple har publisert sikkerhetsoppdateringer for iOS, iPadOS, macOS Tahoe, tvOS, watchOS og visionOS for å rette en aktivt utnyttet zero-day-sårbarhet (CVE-2026-20700). Feilen er en minnekorrupsjon i dyld (Dynamic Link Editor) som kan gjøre det mulig for en angriper med skrive-tilgang til minne å kjøre vilkårlig kode på sårbare enheter. Sårbarheten ble oppdaget og rapportert av Google Threat Analysis Group (TAG) og skal ha blitt brukt i svært sofistikerte og målrettede angrep mot utvalgte personer på eldre iOS-versjoner.
Apple knytter også funnet til to tidligere sårbarheter som ble fikset i desember 2025:
CVE-2025-14174 (CVSS 8.8): Out-of-bounds minnetilgang i ANGLE sin Metal-renderer.
CVE-2025-43529 (CVSS 8.8): Use-after-free-feil i WebKit som kan føre til kodekjøring via ondsinnet webinnhold.
Oppdateringene gjelder blant annet:
iOS/iPadOS 26.3 (iPhone 11 og nyere, flere iPad-modeller)
macOS Tahoe 26.3
tvOS 26.3
watchOS 26.3
visionOS 26.3
Apple har også gitt ut sikkerhetsoppdateringer for eldre versjoner av iOS, iPadOS, macOS Sequoia, macOS Sonoma og Safari.
Dette er Apples første aktivt utnyttede zero-day i 2026. I 2025 patcher selskapet totalt ni zero-days som ble utnyttet i det fri.
Oppdater alle Apple-enheter umiddelbart til nyeste tilgjengelige versjon for å beskytte mot den aktivt utnyttede zero-day-sårbarheten. Virksomheter bør prioritere høyrisikobrukere og sikre at alle enheter er oppdatert og overvåkes for mistenkelig aktivitet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.