Notepad devait devenir moderne et séduisant. L’application a surtout ouvert une porte dérobée. Une vulnérabilité classée 8,8 sur 10 permettait d’exécuter du code malveillant sans la moindre alerte Windows.
Wow, on peut cliquer sur des liens dans un fichier Markdown avec le bloc-notes (comme on peut cliquer sur un lien dans un fichier PDF ou un fichier Word), c’est vraiment une faille de grande envergure…
Tous les protocoles file:, ms-settings:, ms-appinstaller:, mailto: et ms-search: déclenchent désormais cette alerte de sécurité. Pourtant, cette approche soulève des interrogations légitimes. Pourquoi ne pas tout simplement bloquer ces protocoles non standard dans les liens Markdown ?
Parce que c’est pas vraiment une faille en lui-même (juste une fonctionnalité qui peut au pire des cas peut faciliter le phishing) ? Je viens de faire le test à l’instant (avec un document Word qui ouvre un fichier), ni Word, ni OnlyOffice, ni OpenOffice, ni Collabora Office ne bloque ces type de fichiers et ont le même comportement que le bloc-notes (prévenir l’utilisateur via une boîte de dialogue). Ceci dit, un éditeur sort du lot : LibreOffice, qui…ne prévient pas l’utilisateur de manière explicite (aucune boîte de dialogue à l’exception d’une infobulle - infobulle présente également sur les autres éditeurs -)