Microsoft ajoute la prise en charge de JavaScript dans Excel : que se passe-t-il éventuellement ?

Peu de temps après que Microsoft a annoncé la prise en charge des fonctions JavaScript personnalisées dans Excel, quelqu’un a montré ce qui pouvait éventuellement se passer si cette fonctionnalité était utilisée abusivement à des fins malveillantes.

Comme promis l’année dernière lors de la conférence Microsoft Ignite 2017, la société a maintenant apporté des fonctions JavaScript personnalisées à Excel pour étendre ses capacités pour un meilleur travail avec les données.

Les fonctions sont écrites en JavaScript pour les feuilles de calcul Excel actuellement exécutées sur diverses plates-formes, y compris Windows, macOS et Excel Online, permettant aux développeurs de créer leurs propres formules puissantes.

Mais nous l’avons vu venir :

Le chercheur en sécurité, Charles Dardaman, a utilisé cette fonctionnalité pour montrer à quel point il est facile d’intégrer le célèbre script d’extraction de cryptomonnaie dans CoinHive dans une feuille de calcul MS Excel et de l’exécuter en arrière-plan lorsqu’il est ouvert.

"Pour exécuter Coinhive dans Excel, j’ai suivi la documentation officielle de Microsoft et ajouté juste ma propre fonction", a déclaré Dardaman .

Voici une documentation officielle de Microsoft pour apprendre à exécuter des fonctions JavaScript personnalisées dans Excel.

Mais ... JavaScript pour Excel pose moins de menace-voici pourquoi ?

Toutefois, il convient de noter que les compléments Excel, les API qui sont responsables de l’exécution des fonctions personnalisées JavaScript, ne s’exécutent pas par défaut immédiatement après l’ouverture de la feuille de calcul incorporée dans JS.

Au lieu de cela, les utilisateurs doivent charger et exécuter manuellement les fonctions JavaScript via la fonctionnalité des compléments Excel pour la première fois, et plus tard, ils seront automatiquement exécutés chaque fois que le fichier Excel est ouvert sur le même système.

En outre, lorsque vous essayez explicitement d’exécuter une fonction JavaScript dans une feuille Excel qui se connecte à un serveur externe,Microsoft invite l’utilisateur à autoriser ou à refuser la connexion, empêchant l’exécution de code non autorisé.

Par conséquent, JavaScript pour Excel ne pose pas beaucoup de menace aujourd’hui, sauf si et jusqu’à ce que quelqu’un trouve un moyen de l’exécuter automatiquement sans nécessiter d’interaction de l’utilisateur.

En outre, Microsoft a également confirmé que les compléments Excel reposent actuellement sur un processus de navigateur caché pour exécuter des fonctions personnalisées asynchrones, mais à l’avenir, il exécutera JavaScript directement sur certaines plates-formes pour économiser de la mémoire.

Pour l’instant, les fonctions personnalisées JavaScript pour Excel sont disponibles dans l’édition Developer Preview pour Windows, Mac, iPads et Excel Online uniquement pour les abonnés Office 365 inscrits au programme MS Office Insiders.
Microsoft étendra bientôt cette fonctionnalité à un public plus large.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 23 |

Actu en image