C’è stato un tempo, beato, in cui il Blocco Note di Windows era l’applicazione più innocua dell’intero universo informatico. Un rettangolo bianco dove scrivere liste della spesa, appunti volanti, password da non salvare in chiaro. Ma quei tempi sono finiti.
Falla grave su Blocco Note, bastava un clic per perdere il controllo del PC
Microsoft ha appena corretto una vulnerabilità grave nel Blocco Note, catalogata come CVE-2026-20841, punteggio CVSS di 8.8 su 10, che avrebbe potuto permettere a un malintenzionato di prendere il controllo completo del computer semplicemente facendo aprire un file e cliccare su un link.
Il problema riguarda la versione moderna del Blocco Note, quella scaricabile dal Microsoft Store, e in particolare la gestione dei file Markdown (.md). In alcuni casi, l’app non filtrava o “ripuliva” correttamente determinati caratteri speciali presenti nel file, lasciando la porta aperta a un attacco remoto.
Lo scenario era questo: un hacker creava un file Markdown con link costruiti ad arte. La vittima lo apriva con Notepad, magari pensando di leggere un semplice documento, e cliccava su uno dei link. A quel punto partiva uno script che scarica ed esegue codice malevolo, e l’hacker ottiene accesso al computer con tutti i permessi dell’utente.
La patch c’è, bisogna installarla subito
Microsoft ha risolto la falla nel Patch Tuesday di febbraio 2026, rilasciato il 10 febbraio. Al momento della correzione non risultavano exploit pubblici, quindi per quanto ne sappiamo, nessuno ha sfruttato attivamente il bug prima che venisse corretto. La gravità è stata classificata come “Importante” da Microsoft, un gradino sotto “Critica”.
Il consiglio è il solito, banale e fondamentale: aggiornare Windows e assicurarsi che Notepad sia all’ultima versione disponibile sullo Store. Il vero problema è che il Blocco Note è connesso a Internet. La scoperta del bug ha riacceso un dibattito che covava da tempo su quanto sia sensato aver trasformato un editor di testo minimale in un’applicazione che comunica con i server di Microsoft.
La ragione ufficiale è l’integrazione di Copilot, l’assistente AI che Microsoft sta infilando ovunque. Per funzionare, Copilot ha bisogno di una connessione attiva, e questo significa che anche il più umile degli editor di testo adesso deve dialogare con il cloud. Un programma nato per essere una lavagna digitale senza pretese si ritrova con una superficie d’attacco che quindici anni fa sarebbe stata impensabile.
Se davvero servisse Copilot dentro Notepad è una domanda legittima. Ognuno può farsi la propria opinione. Ma la vulnerabilità CVE-2026-20841 offre una risposta indiretta eloquente: più funzioni si aggiungono a un’app semplice, più aumentano i rischi.
Ti potrebbe interessare
11 feb 2026