مایکروسافت آفیس سالها از ActiveX به عنوان گزینهای برای گسترش و خودکارسازی اسناد پشتیبانی میکرد، اما این ویژگی همواره یک آسیبپذیری امنیتی مهم بوده است. مایکروسافت سرانجام شروع به غیرفعال کردن ActiveX در برنامههای Microsoft 365 کرده است که این اقدام به دنبال تصمیم مشابهی در بسته Office 2024 سال گذشته صورت میگیرد.
از این ماه، نسخههای ویندوزی Microsoft Word، Excel، PowerPoint و Visio در Microsoft 365 به طور پیشفرض تمام محتوای ActiveX را بدون نمایش اعلان غیرفعال خواهند کرد. نسخههای مک و تحت وب برنامههای آفیس از ابتدا هیچگاه از محتوای ActiveX پشتیبانی نمیکردند.
مایکروسافت در یک پست وبلاگی اعلام کرد: “تنظیمات پیشفرض قبلی که ‘قبل از فعالسازی همه کنترلها با محدودیتهای حداقلی از من سؤال شود’ به شما اجازه میداد کنترلهای ActiveX بالقوه خطرناک را فعال کنید که میتوانست توسط مهاجمان از طریق مهندسی اجتماعی یا فایلهای مخرب مورد سوءاستفاده قرار گیرد. تنظیمات پیشفرض جدید امنتر است زیرا این کنترلها را کاملاً مسدود میکند و خطر بدافزار یا اجرای کد غیرمجاز را کاهش میدهد.”
به یاد آوردن کنترلهای ActiveX، بزرگترین اشتباه وب: کنترلهای ActiveX اینترنت اکسپلورر که در سال 1996 معرفی شدند، ایدهای نامناسب برای وب بودند. آنها مشکلات امنیتی جدی ایجاد کردند و به تثبیت سلطه اینترنت اکسپلورر در ویندوز کمک کردند که منجر به رکود وب قبل از فایرفاکس شد.
این تغییر قبلاً در Microsoft Office 2024 اعمال شده بود و اکنون به برنامههای اشتراکی Microsoft 365 نیز میآید. این ویژگی هماکنون در کانال بتا برای نسخه 2504 (ساخت 18730.20030) یا بالاتر برنامهها در دسترس است و به زودی این تغییر برای همه کاربران ویندوز اعمال خواهد شد.
نکته مهم این است که ActiveX به طور کامل از برنامههای آفیس حذف نمیشود. برخی سازمانها ممکن است همچنان این ویژگی را فعال کنند و حسابهای شخصی میتوانند با مراجعه به File > Options > Trust Center > Trust Center Settings > ActiveX Settings > Prompt me before enabling all controls with minimal restrictions آن را تغییر دهند.
خداحافظ، ActiveX: مایکروسافت اولین نسخه ActiveX را در سال 1996 منتشر کرد که به وبسایتها در اینترنت اکسپلورر و اسناد در مایکروسافت آفیس اجازه میداد کدهای پیچیده و محتوای تعاملی را جاسازی کنند. به عنوان مثال، از کنترلهای ActiveX میتوان برای ایجاد دکمهها و چکلیستها در اسناد آفیس استفاده کرد که میتوانستند با کلیک کردن، سند را تغییر دهند یا اقدامات خارجی انجام دهند.
ActiveX برخی کاربردهای مشروع داشت، اما برای فیشینگ و بدافزار بسیار محبوبتر بود. آسیبپذیریهای امنیتی زیادی در ActiveX وجود داشت که به یک سند به ظاهر امن Word یا PowerPoint اجازه میداد تنظیمات و فایلهای ویندوز را تغییر دهد. همچنین یک خطر مکرر امنیتی و حریم خصوصی در اینترنت اکسپلورر بود و هرگز به جایگزین آن، مایکروسافت Edge، منتقل نشد.
مایکروسافت در نهایت برنامههای آفیس را بهروزرسانی کرد تا محتوای ActiveX را به طور خودکار اجرا نکنند، اما برخی فایلهای مخرب میتوانند با موفقیت افراد را فریب دهند تا روی دکمه ‘Enable Content’ کلیک کنند. حذف این گزینه به صورت پیشفرض توسط مایکروسافت به کاهش این حملات کمک خواهد کرد، در حالی که همچنان در صورت نیاز مبرم، اجازه اجرای محتوای ActiveX را میدهد.
این تغییر به نظر آخرین قدم قبل از حذف کامل ActiveX از برنامههای آفیس است، اما مشخص نیست چه زمانی (یا آیا اصلاً) این اتفاق خواهد افتاد. برخی اسناد فقط با ActiveX به درستی کار میکنند و پلتفرم جدیدتر Add-ins مایکروسافت جایگزین کاملی نیست. این تا حد ممکن امنترین حالت برای ActiveX است.
مایکروسافت در سال 2022 شروع به مسدود کردن خودکار ماکروهای Visual Basic for Applications (VBA) در اسناد آفیس کرد که آنها نیز اغلب برای توزیع بدافزار استفاده میشدند. این تغییر در تمام نسخههای پشتیبانی شده برنامههای آفیس در آن زمان، از جمله Office LTSC، Office 2021، Office 2019، Office 2016 و Office 2013 اعمال شد.
source