WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft bổ sung tính năng của JavaScript trong Excel
Như đã hứa tại hội nghị Ignite 2017, Microsoft hiện đã đưa các chức năng JavaScript tùy chỉnh vào Excel để mở rộng khả năng xử lý dữ liệu tốt hơn của phần mềm.
Các hàm được viết bằng JavaScript cho bảng tính Excel hiện đang chạy trên nhiều nền tảng khác nhau, bao gồm Windows, macOS và Excel Online, cho phép các nhà phát triển thiết lập các công thức hữu hiệu của riêng họ.
Tuy nhiên, đã có lo ngại tính năng mới có thể bị lạm dụng cho mục đích xấu.
Nhà nghiên cứu an ninh mạng Charles Dardaman đã tận dụng tính năng này để chỉ ra rằng việc nhúng tập lệnh đào tiền ảo vào trình duyệt không phổ biến từ CoinHive bên trong bảng tính MS Excel và chạy nó trong background khi mở dễ như thế nào.
"Để chạy Coinhive trong Excel, tôi đã làm theo tài liệu chính thức của Microsoft và chỉ bổ sung thêm chức năng của riêng mình", Dardaman nói.
Đây là tài liệu chính thức của Microsoft để tìm hiểu cách chạy các hàm JavaScript tùy chỉnh trong Excel.
Tại sao JavaScript cho Excel mang đến ít nguy cơ hơn?
Tuy nhiên, cần lưu ý rằng các add-in Excel, các API chịu trách nhiệm chạy các hàm tùy chỉnh JavaScript, không thực thi một cách mặc định ngay lập tức sau khi mở bảng tính được nhúng JS.
Thay vào đó, người dùng cần tải thủ công và chạy các hàm JavaScript thông qua tính năng bổ trợ Excel cho lần đầu tiên và sau đó nó sẽ được thực thi tự động mỗi khi tệp Excel được mở trên cùng một hệ thống.
Hơn nữa, khi bạn cố gắng chạy một hàm JavaScript trong bảng Excel có kết nối với máy chủ bên ngoài, Microsoft sẽ nhắc người dùng cho phép hoặc từ chối kết nối, ngăn chặn mã trái phép thực thi.
Vì vậy, JavaScript cho Excel không gây ra nhiều mối đe dọa ở thời điểm này, trừ khi và cho đến khi ai đó phát hiện cách thức thực thi tự động mà không yêu cầu bất kỳ tương tác người dùng nào.
Bên cạnh đó, Microsoft cũng đã xác nhận các add-in Excel đang dựa trên tính năng duyệt web ẩn để chạy các chức năng tùy chỉnh không đồng bộ, nhưng trong tương lai, JavaScript sẽ chạy trực tiếp trên một số nền tảng để tiết kiệm bộ nhớ.
Hiện tại, chức năng tùy chỉnh JavaScript cho Excel đã có sẵn trong phiên bản Developer Preview (xem trước cho nhà phát triển) cho Windows, Mac, iPad và bản Excel Online chỉ dành cho những người đăng ký Office 365 trong chương trình Người dùng nội bộ MS Office.
Microsoft sẽ sớm giới thiệu tính năng này rộng rãi hơn.
Các hàm được viết bằng JavaScript cho bảng tính Excel hiện đang chạy trên nhiều nền tảng khác nhau, bao gồm Windows, macOS và Excel Online, cho phép các nhà phát triển thiết lập các công thức hữu hiệu của riêng họ.
Tuy nhiên, đã có lo ngại tính năng mới có thể bị lạm dụng cho mục đích xấu.
Nhà nghiên cứu an ninh mạng Charles Dardaman đã tận dụng tính năng này để chỉ ra rằng việc nhúng tập lệnh đào tiền ảo vào trình duyệt không phổ biến từ CoinHive bên trong bảng tính MS Excel và chạy nó trong background khi mở dễ như thế nào.
"Để chạy Coinhive trong Excel, tôi đã làm theo tài liệu chính thức của Microsoft và chỉ bổ sung thêm chức năng của riêng mình", Dardaman nói.
Đây là tài liệu chính thức của Microsoft để tìm hiểu cách chạy các hàm JavaScript tùy chỉnh trong Excel.
Tại sao JavaScript cho Excel mang đến ít nguy cơ hơn?
Tuy nhiên, cần lưu ý rằng các add-in Excel, các API chịu trách nhiệm chạy các hàm tùy chỉnh JavaScript, không thực thi một cách mặc định ngay lập tức sau khi mở bảng tính được nhúng JS.
Thay vào đó, người dùng cần tải thủ công và chạy các hàm JavaScript thông qua tính năng bổ trợ Excel cho lần đầu tiên và sau đó nó sẽ được thực thi tự động mỗi khi tệp Excel được mở trên cùng một hệ thống.
Hơn nữa, khi bạn cố gắng chạy một hàm JavaScript trong bảng Excel có kết nối với máy chủ bên ngoài, Microsoft sẽ nhắc người dùng cho phép hoặc từ chối kết nối, ngăn chặn mã trái phép thực thi.
Vì vậy, JavaScript cho Excel không gây ra nhiều mối đe dọa ở thời điểm này, trừ khi và cho đến khi ai đó phát hiện cách thức thực thi tự động mà không yêu cầu bất kỳ tương tác người dùng nào.
Bên cạnh đó, Microsoft cũng đã xác nhận các add-in Excel đang dựa trên tính năng duyệt web ẩn để chạy các chức năng tùy chỉnh không đồng bộ, nhưng trong tương lai, JavaScript sẽ chạy trực tiếp trên một số nền tảng để tiết kiệm bộ nhớ.
Hiện tại, chức năng tùy chỉnh JavaScript cho Excel đã có sẵn trong phiên bản Developer Preview (xem trước cho nhà phát triển) cho Windows, Mac, iPad và bản Excel Online chỉ dành cho những người đăng ký Office 365 trong chương trình Người dùng nội bộ MS Office.
Microsoft sẽ sớm giới thiệu tính năng này rộng rãi hơn.
Nguồn: The Hacker News