Ngay sau khi Microsoft công bố hỗ trợ cho các chức năng JavaScript tùy chỉnh trong Excel thì đã có người chứng minh được rằng tính năng này có thể bị lạm dụng vì mục đích độc hại.

Như đã hứa vào năm ngoái tại hội nghị Ignite 2017 của Microsoft, công ty hiện đã đưa các chức năng JavaScript tùy chỉnh vào Excel để mở rộng khả năng làm việc với dữ liệu của nó.

Các hàm được viết bằng JavaScript cho bảng tính Excel hiện đang chạy trên nhiều nền tảng khác nhau, bao gồm Windows, macOS và Excel Online, qua đó cho phép các nhà phát triển tạo ra các công thức của riêng họ.

Nhà nghiên cứu bảo mật Charles Dardaman đã tận dụng tính năng này để cho thấy rằng tin tặc có thể dễ dàng nhúng tập lệnh khai thác tiền ảo trong trình duyệt từ CoinHive vào bên trong bảng tính MS Excel và chạy nó trong nền khi được mở.

Dardaman nói: “Để chạy Coinhive trong Excel, tôi đã làm theo tài liệu chính thức của Microsoft và chỉ thêm mỗi hàm của riêng tôi”.

Đây là tài liệu chính thức của Microsoft để tìm hiểu cách chạy các hàm JavaScript tùy chỉnh trong Excel

Nhưng … JavaScript tùy chỉnh trong Excel tạo ra ít mối đe dọa hơn – Đây là lý do tại sao?

Tin tặc có thể khai thác hỗ trợ cho Javascript tùy chỉnh trong Excel

Tuy nhiên, cần lưu ý rằng các bổ trợ Excel và API chịu trách nhiệm chạy các hàm tùy chỉnh JavaScript không thực thi theo mặc định ngay lập tức sau khi mở bảng tính được nhúng JS.

Thay vào đó, người dùng cần tải thủ công và chạy các hàm JavaScript thông qua tính năng bổ trợ Excel lần đầu tiên và sau đó nó sẽ được thực thi tự động mỗi khi tệp Excel được mở trên cùng một hệ thống.

Hơn nữa, khi bạn cố gắng chạy một hàm JavaScript trong trang tính Excel kết nối với máy chủ bên ngoài, Microsoft sẽ nhắc người dùng cho phép hoặc từ chối kết nối, ngăn chặn mã trái phép thực thi.

Vì vậy JavaScript cho Excel không gây ra nhiều mối đe dọa, trừ khi và cho đến khi ai đó tìm thấy một cách khác để thực hiện nó tự động mà không yêu cầu bất kỳ tương tác người dùng.

Bên cạnh đó, Microsoft cũng đã xác nhận rằng các bổ sung cho Excel hiện đang dựa vào trình duyệt ẩn để chạy các chức năng tùy chỉnh không đồng bộ nhưng trong tương lai nó sẽ chạy JavaScript trực tiếp trên một số nền tảng để tiết kiệm bộ nhớ.

Hiện tại, chức năng tùy chỉnh JavaScript cho Excel đã có sẵn trong phiên bản Developer Preview cho Windows, Mac, iPad và Excel Online mà chỉ dành cho người đăng ký Office 365 đã đăng ký trong chương trình MS Office Insider.

Microsoft sẽ sớm đưa ra tính năng này cho nhiều người dùng sử dụng hơn.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <