メールで添付ファイル送って、NTLMv2受信して...。

悪用方法の実演として、添付ファイルを送ってリンクを押させるみたいなものが公開されていた。
jacen.moe

そんなに複雑な話ではないし、よくあるファイル開かせるのと同じ感じだけど。確かにありそう。

ただし、notepadは基本勝手にアプデされるが。

ところで、.moeドメインでセキュリティの話しているサイトというのに仲間意識を感じます。

こういうのもCVEってなるんかぁ

正直もう特に言うことがない。てか、notepad.exeって自動アップデートだから、インターネットに繋がっているならば既に解決してるの思われるが。

Windowsに限らず新しい機能を追加したら、最初の頃は脆弱性が沢山発見されたりするもの。

こんな単純なものがCVEになるんかね。正直仕様とかうんぬんかんぬんでCVEじゃないって押し通されるケースもあるんかなぁと思っていたが、脆弱性の説明とかリスクの説明とかした脆弱性報告者が超話すのが上手かったのかなと想像してしまう。