Microsoft hat im Februar 2026 eine schwerwiegende Sicherheitslücke in Notepad unter Windows 11 geschlossen. Über speziell präparierte Markdown Dateien konnten Links dazu führen, dass Programme oder Dateien gestartet wurden, ohne dass die üblichen Windows Warnhinweise erschienen. Für einen Angriff musste ein Nutzer die Datei öffnen und den Link anklicken, doch genau das machte die Lücke besonders tückisch. Mit dem aktuellen Update zeigt Notepad jetzt deutlichere Warnungen und verlangt eine bewusste Bestätigung.
Was genau wurde gefunden
Die Schwachstelle wurde unter der Kennung CVE 2026 20841 geführt und im Rahmen der Sicherheitsupdates im Februar 2026 behoben. Betroffen war Notepad in Windows 11, das in den letzten Jahren deutlich mehr Funktionen erhalten hat als viele vom klassischen Editor erwarten.
Die Gefahr bestand darin, dass Notepad Links in Markdown nicht ausreichend eingeschränkt hat. Dadurch konnten nicht nur normale Webseiten Links funktionieren, sondern auch spezielle Linktypen, die Windows intern zum Starten von Programmen oder zum Öffnen bestimmter Systemfunktionen nutzt.
Warum Notepad heute mehr Risiko mitbringt als früher
Notepad galt lange als extrem schlicht und damit auch als relativ unauffällig in Sachen Sicherheit. Mit Windows 11 wurde die App jedoch modernisiert. Unter anderem kamen Markdown Unterstützung und bessere Darstellungsmöglichkeiten hinzu. Gleichzeitig wurde WordPad als Standardlösung für bestimmte Textformate zurückgefahren, wodurch Notepad für mehr Aufgaben genutzt wird als früher.
Markdown ist beliebt, weil es mit sehr einfachen Zeichen formatierte Texte ermöglicht. Zum Beispiel lassen sich fett gedruckte Worte oder anklickbare Links erzeugen. Genau diese Linkfunktion wurde hier zum Problem, weil Notepad in bestimmten Fällen zu viel zugelassen hat.
Wie der Angriff in der Praxis ablief
In anfälligen Versionen bis einschließlich 11.2510 konnten Links mit nicht üblichen Protokollen anklickbar sein, sobald man die Markdown Ansicht nutzte. Ein Klick, häufig in Kombination mit einer Tastenkombination, konnte dann direkt eine Datei oder ein Programm starten. Das Entscheidende: Es erschien kein typischer Sicherheitsdialog, der sonst bei riskanten Aktionen warnt.
Angreifer konnten also eine Markdown Datei erstellen, darin einen Link verstecken und versuchen, ein Opfer zum Anklicken zu bewegen. Der gestartete Inhalt lief anschließend mit denselben Rechten wie der angemeldete Nutzer. Das ist zwar nicht automatisch ein kompletter Systemzugriff, kann aber reichen, um Schaden anzurichten, Daten auszulesen oder weitere Schritte vorzubereiten.
In einigen Szenarien konnte der Link auch auf Inhalte zeigen, die über ein Netzwerk bereitgestellt werden, etwa über eine Windows Dateifreigabe. Dadurch vergrößert sich die Angriffsfläche, weil nicht nur lokale Dateien, sondern auch entfernte Quellen in Frage kommen können.
Welche Linktypen besonders kritisch waren
Das Problem hing damit zusammen, dass Notepad in Markdown Links bestimmte Protokolle nicht sauber begrenzt hat. Neben klassischen Webadressen gibt es unter Windows viele eigene Adressschemata, die Systemfunktionen ansprechen oder Installations und Startmechanismen auslösen können. Wenn solche Adressen in einer Anwendung ohne klare Warnung ausführbar werden, entsteht schnell ein Sicherheitsrisiko.
Wichtig ist dabei: Die Lücke funktionierte nicht allein durch das Öffnen der Datei. Erst der Klick machte den Angriff möglich. Trotzdem ist das Risiko hoch, weil Links in Texten alltäglich wirken und Nutzer oft nicht erwarten, dass ein einfacher Editor Programme starten kann.
Was Microsoft geändert hat
Mit dem Fix hat Microsoft strengere Schutzregeln eingebaut. Notepad behandelt Links jetzt vorsichtiger, sobald sie nicht zu normalen Webseiten gehören. Konkret wird bei Links, die nicht mit http oder https beginnen, ein Warnfenster angezeigt. Zusätzlich muss der Nutzer aktiv bestätigen, bevor Notepad fortfährt.
Damit ist der frühere Effekt weg, bei dem Inhalte ohne jede Nachfrage gestartet wurden. Ein Restrisiko durch Täuschung bleibt natürlich bestehen, denn Nutzer könnten trotz Warnung zustimmen. Der entscheidende Unterschied ist aber, dass Windows 11 Nutzer nun eine klare Unterbrechung sehen und die Situation bewusst prüfen können.
Warum diese Lücke ein wichtiges Signal ist
Der Fall zeigt ein typisches Muster in der Softwareentwicklung. Sobald eine eigentlich einfache App neue Funktionen bekommt, wächst auch die potenzielle Angriffsfläche. Markdown klingt zunächst harmlos, bringt aber automatisch die Idee von Links und Interaktionen mit. Wenn dann Protokolle, Berechtigungen und Warnhinweise nicht sauber zusammenspielen, entstehen Schwachstellen, die man bei einem Texteditor gar nicht erwarten würde.
Gerade weil Notepad von vielen als sicherer Standard angesehen wird, können solche Probleme besonders wirkungsvoll sein. Angreifer setzen häufig auf Vertrauen und Gewohnheit, nicht nur auf technische Tricks.
So stellen Sie sicher, dass der Fix aktiv ist
Notepad wird in Windows 11 häufig über den Microsoft Store aktualisiert. Deshalb sollten viele Nutzer die Korrektur automatisch erhalten haben, ohne selbst etwas zu tun. Trotzdem lohnt es sich, Windows regelmäßig vollständig zu aktualisieren, weil Sicherheitslücken oft mehrere Komponenten betreffen und Updates nicht immer gleichzeitig überall ankommen.
Wenn Sie auf Nummer sicher gehen wollen, öffnen Sie den Microsoft Store, prüfen Sie Updates und installieren Sie ausstehende Aktualisierungen. Zusätzlich sollten die monatlichen Windows Sicherheitsupdates zeitnah eingespielt werden, besonders wenn es um Schwachstellen geht, die Aktionen aus der Ferne auslösen oder Programme starten können.