Microsoft deaktiviert die Unterstützung für ActiveX in seinem Office-Paket Microsoft 365. Noch im April werden die Windows-Versionen Microsoft Words, Excels, PowerPoints und Visios ActiveX standardmäßig nicht mehr ausführen und die Nutzer auch nicht mehr darauf hinweisen. Das soll das Sicherheitsniveau der Software heben.
ActiveX gilt mindestens seit 2003 als inhärent unsicher. "Die Security-Advisories von Symantec und Trend Micro zeigen: So etwas wie ein 'sicheres ActiveX-Control' gibt es nicht", schrieb Heise-Security-Leiter Jürgen Schmidt damals in seinem Kommentar. Denn: "Wenn Sie ein ActiveX-Control auf Ihrem Rechner installieren, ist das genauso sicher oder unsicher wie ein normales Programm: Wenn der Entwickler in das Control reinschreibt: 'Lösche alle Dateien auf diesem System', dann löscht es alle Dateien, auf die der Nutzer, der es gestartet hat, Zugriff hat."
In den letzten zweieinhalb Jahrzehnten hat Microsoft wiederholt am ActiveX-System gebastelt und beispielsweise das Deaktivieren einzelner ActiveX-Module im Internet Explorer, er Ruhe in Frieden, ermöglicht. Am Ende hat sich ActiveX immer wieder als Einfallstor für Malware und IT-Angreifer erwiesen.
In Office 2024 hat Microsoft die ActiveX-Unterstützung bereits zum Release im Oktober standardmäßig abgeschaltet, jetzt sind die obgenannten Microsoft-365-Anwendungen dran (ab Version 2504 respektive Build 18730.20030). Im Beta-Channel ist die Abschaltung bereits erfolgt, wie ein Blogpost Microsofts informiert. Manche ActiveX-Objekte werden demnach als statisches Bild sichtbar bleiben, Interaktion damit wird jedoch nicht mehr möglich sein.
Ganz Schluss ist mit ActiveX aber dann doch nicht. Wer gerne riskant lebt, kann in den Einstellungen des Trust Center festlegen, dass er doch wieder die Möglichkeit erhält, einzelne AcxtiveX-Objekte manuell zu reaktivieren. Gibt es einen Gruppenadmin, kann der das jedoch verhindern, oder ebenfalls für alle seine Schäfchen freigeben.
Immerhin weiß man dann, wer schuld gewesen sein wird. Und wenn Ihnen jemand ein Update zur Reaktivierung ActiveX' anbietet, sollten die Alarmglocken schrillen.
(
Kommentare