Microsoft zakáže ActiveX v Office 2024

Zpět na blog

S říjnovým příchodem nové verze Office 2024 Microsoft zakáže ovládací prvky ActiveX ve výchozím nastavení pro aplikace Word, Excel, PowerPoint a Visio.

ActiveX, technologie zavedená v roce 1996, umožňovala vývojářům vytvářet interaktivní objekty do dokumentů, ale bude postupně deaktivována nejprve pro Win32 Office desktop aplikace, a následně v dubnu 2025 i pro Microsoft 365 aplikace.

Podle Microsoftu bude výchozí nastavení změněno na „Zakázat všechny ovládací prvky bez upozornění“. To znamená, že uživatelé nebudou moci vytvářet ani interagovat s ActiveX objekty v dokumentech. Některé stávající ActiveX objekty se budou nadále zobrazovat jako statické obrázky, ale interakce s nimi již nebude možná.

U komerčních verzí Office tato změna proběhne tiše, ale uživatelé nekomerčních verzí dostanou upozornění s vysvětlením, že nové výchozí nastavení odpovídá existujícímu nastavení skupinové politiky DisableAllActiveX. Pokud uživatelé potřebují ActiveX ovládací prvky znovu aktivovat, budou mít možnost vrátit se k předchozímu nastavení prostřednictvím Trust Center Settings nebo úpravou registrů.

Tento krok je motivován bezpečnostními problémy spojenými s ActiveX, včetně zero-day zranitelností, které byly zneužívány hackery k nasazení malwaru kradoucího informace. Útočníci také používali ActiveX k šíření malwaru TrickBot a nasazování nástrojů Cobalt Strike do podnikových sítí.

Zákaz ActiveX je součástí širšího úsilí Microsoftu eliminovat funkce Office a Windows, které byly zneužívány ke kybernetickým útokům. Microsoft také oznámil, že v druhé polovině roku 2024 ukončí podporu VBScriptu, což je další zastaralá technologie, kterou útočníci často zneužívali. VBScript bude dočasně dostupný jako volitelná funkce, než bude zcela odstraněn.

Tento vývoj potvrzuje závazek Microsoftu chránit své uživatele tím, že odstraňuje funkce, které by mohly být zneužity ke kybernetickým útokům.

Zdroj ilustračního obrázku: Kaitlyn Baker on Unsplash

Zdroj: Bleeping Computer

16. 9. 2024