背景

微軟旗下的經典文字編輯器 Notepad（記事本）近期爆出遠端代碼執行（RCE）漏洞，該漏洞追蹤編號為 CVE-2024-43451，其 CVSS 風險評分高達 8.8。這項漏洞源於微軟近年為 Notepad 引入的 Markdown 渲染功能，攻擊者可透過惡意連結誘使使用者點擊，進而觸發未經驗證的協定來執行遠端檔案。

社群觀點

Hacker News 的討論呈現出對微軟產品開發策略的強烈質疑。許多資深用戶認為，Notepad 曾是 Windows 系統中極少數維持簡潔、穩定且「完成度高」的軟體，但微軟近年來執意將 AI Copilot、Markdown 渲染等複雜功能塞入這款原本只需處理純文字的工具，是導致安全災難的主因。社群普遍認為這是一種典型的「功能蔓延」負面案例，將原本單純的文字緩衝區變成了一個具備網路感知能力的渲染堆疊，這在安全性上是極大的退步。

針對漏洞的技術細節，部分網友指出這並非單純的 Notepad 錯誤，而是與 Windows 核心 API 中的 ShellExecute 歷史包袱有關。這項源自 90 年代 IE 整合時期的設計，允許應用程式調用系統中註冊的所有 URL 協定。在瀏覽器中，點擊非標準協定通常會跳出警告視窗，但新版 Notepad 卻缺乏這種沙盒保護或使用者確認機制，直接盲目地執行了攻擊者提供的協定。雖然有觀點認為這需要使用者主動點擊連結，不應歸類為傳統定義中無需互動的 RCE，但多數人反駁稱，對於一個文字編輯器而言，讀取檔案本身就不該存在任何導致系統被接管的風險。

此外，討論串也引發了對 Windows 內建工具「臃腫化」的集體共鳴。有使用者抱怨計算機（calc.exe）從原本的瞬間啟動變成需要等待數秒的 UWP 應用程式，甚至在切換進位制時會跳出無關的瀏覽器功能提示。這種將簡單工具複雜化的趨勢，讓許多開發者感到沮喪。一些用戶回憶起早期 Notepad 連 Ctrl+S 存檔快捷鍵都不支援、無法正確處理換行符號（LF）的簡陋時期，雖然當時功能不足，但至少不會成為勒索軟體的入侵媒介。

對於需要純淨環境的專業人士來說，Notepad 原本的功能之一是「清除格式」，將帶有複雜樣式的文字轉為純文字。現在 Notepad 開始自動渲染 Markdown，反而破壞了這項核心用途。社群中不少人表示，這類漏洞的出現將促使更多人轉向使用 Notepad2、Metapad 或 Notepad++ 等第三方替代方案，因為這些工具在增加功能的同時，通常比微軟官方更注重效能與安全邊界。

延伸閱讀

• Metapad: 早期許多 Windows 用戶用來替換原版記事本的輕量化選擇。
• Notepad2: 基於 Scintilla 開發的開源文字編輯器，以簡潔高效著稱。
• Bush hid the facts: 討論中提到的著名 Notepad 編碼判斷錯誤案例，雖然不是安全漏洞，但展示了該軟體處理編碼時的歷史缺陷。
• 98lite: 一個早期的第三方工具，旨在從 Windows 98 中移除整合的 IE 瀏覽器及其相關組件。