Комментарии 3
Похоже автор статьи только сейчас узнал, что файлы Оffice являются по-сути исполняемыми. И их открытие может привести к заражению пк зловредом. Что знает любой офисный сотрудник уже лет 20.
Файлы Office в общем смысле не являются исполняемыми, но могут содержать исполняющиеся макросы, хотя к теме статьи это всё-равно не имеет никакого отношения. Автор статьи рассказывает как механизм «А ещё вы можете встроить в свою Excel таблицу документ из Word и презентацию PowerPoint и даже какой-нибудь другой апплет» обернулся боком и как это работает внутри.
По-сути это те же грабли что и компоненты ActiveX на html странице в браузере Internet Explorer. Очень мощная штука и на ней было сделано огромное множество «энтерпрайз» решений и всяких банк-клиентов (те самые «работает только в IE 6.0 под Windows 98»), но и дыр наделавшая ещё большее количество.
По-сути это те же грабли что и компоненты ActiveX на html странице в браузере Internet Explorer. Очень мощная штука и на ней было сделано огромное множество «энтерпрайз» решений и всяких банк-клиентов (те самые «работает только в IE 6.0 под Windows 98»), но и дыр наделавшая ещё большее количество.
ormoulu давно пишет, что элементы управления ActiveX нужно отключать. От себя добавлю: свои макросы нужно подписывать физическим ключом — остальные отключать.
Про ActiveX написали, а про элементы Legacy Form — нет (на рисунке в окне VBA они показаны). Дырявые ли они? Данные Legacy Form (их уже лет 20 не используют) в офисе выше версии 12 хранятся в xml (каталог dialogsheets, а не embeddings), — видимо, древний функционал прилично урезан.
Про ActiveX написали, а про элементы Legacy Form — нет (на рисунке в окне VBA они показаны). Дырявые ли они? Данные Legacy Form (их уже лет 20 не используют) в офисе выше версии 12 хранятся в xml (каталог dialogsheets, а не embeddings), — видимо, древний функционал прилично урезан.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность Microsoft Office: встраиваемые объекты