Stilig XML lager hull i Excel

Dersom du ser på et Excel-regneark gjennom et XML-stilark, vil du kunne overrumples av ondsinnet kode.

I sin utrettelige jakt på sårbarheter i Office og andre Microsoft-applikasjoner, har sikkerhetsekspert Georgi Guninski avslørt hull i regnearket Excels håndtering av XML-stilark.

Evnen til å bruke XML-stilark til å vise regneark er blant de nye "kule" ting i Excel. I utgangspunktet er egenskapen slått av. Guninski anbefaler at du ikke slår den på, og svarer "nei" dersom et fremmed regneark spør om du vil se på det gjennom et XML-stilark..

Årsaken er at egenskapen ikke verner mot uvedkommende kode i stilarket. Det betyr at det er mulig å utforme et stilark slik at vilkårlig kode eksekveres. Guninski gir et eksempel der stilarket viser innholdet i en filkatalog. Ondsinnet kode kunne utformes slik at langt mer skadelige kommandoer ble kjørt.

Guninski trekker fram en innrømmelse som Microsofts plattform-ansvarlige Jim Allchin ble presset til under rettshøringen tidligere denne måneden. Allchin argumenterte mot at Microsoft skulle tvinges til å gi konkurrenter innsyn i kildekoden til selskapets systemer og applikasjoner. Han sa det kunne skade nasjonale sikkerhetsinteresser, og til og med true USAs krig i Afghanistan. Under krysseksaminering måtte han innrømme at en av grunnene var alvorlige feil i koden, med derav følgende utnyttbare sårbarheter. (Se artikkelen Allchin: Disclosure May Endanger U.S. som Electronics Week offentliggjorde 13. mai.) Guninski mener innrømmelsen bør betraktes i lys av Microsofts pågående initiativ "Trustworthy Computing".

Til toppen