Microsoft 365 sagt ActiveX den Kampf an: Sicherheit durch Deaktivierung im Office-Paket

Microsoft hat beschlossen, den Einsatz von ActiveX in seinem Office-Paket Microsoft 365 endgültig zu beenden und das Sicherheitsniveau seiner Anwendungen signifikant zu erhöhen. Ab April 2023 werden die gängigen Windows-Versionen von Microsoft Word, Excel, PowerPoint und Visio keine ActiveX-Komponenten mehr standardmäßig ausführen oder Nutzer auf deren Existenz hinweisen. Diese Entscheidung basiert auf der jahrzehntelangen Historie von ActiveX als potenzielles Sicherheitsrisiko, das seit mindestens 2003 besteht. Symantec und Trend Micro haben wiederholt Security Advisories hervorgehoben, in denen sie klargestellt haben, dass ein wirklich sicheres ActiveX-Control nicht existiert. Ähnlich wie normale Programme können auch ActiveX-Controls schädlichen Code enthalten, was zu gefährlichen Konsequenzen führen kann, wenn beispielsweise ein Entwickler böswillige Befehle in ein Control integriert. Dieser Code könnte dann unter den Zugriffsberechtigungen des Nutzers Daten löschen oder andere kritische Aktionen ausführen.

Über die Jahre hat Microsoft wiederholt versucht, die Sicherheitslücken in ActiveX zu beheben und das System zu verbessern. Maßnahmen wie das Deaktivieren einzelner ActiveX-Module im Internet Explorer ermöglichten zumindest eine gewisse Kontrolle, jedoch blieb ActiveX ein immer wiederkehrendes Einfallstor für Malware und Angriffe auf IT-Systeme. Bereits mit der Veröffentlichung von Office 2024 im Oktober 2023 wurde die ActiveX-Unterstützung standardmäßig abgeschaltet. Nun folgt mit Microsoft 365 (ab Version 2504 bzw. Build 18730.20030) der nächste Schritt in dieser Richtung. Im Beta-Kanal ist die Deaktivierung bereits implementiert, wie ein Blogpost von Microsoft bestätigt.

Obwohl ActiveX nun standardmäßig deaktiviert ist, bleiben einige Objekte möglicherweise sichtbar. Nutzer können jedoch im Trust Center eine Einstellung vornehmen, um einzelne ActiveX-Objekte manuell zu reaktivieren. Dies bietet zwar Flexibilität, birgt aber gleichzeitig ein erhöhtes Sicherheitsrisiko. Eine solche Entscheidung kann durch einen Gruppenadministrator beschränkt oder für alle Benutzer freigegeben werden, wodurch die Verantwortung für eventuelle Gefahren klar definiert ist. Es ist jedoch wichtig, dass Nutzer wachsam bleiben und Updates zur Reaktivierung von ActiveX kritisch hinterfragen, da diese potenziell unsicher sein könnten.

Die Abschaffung der Standardunterstützung für ActiveX in Microsoft 365 markiert einen wichtigen Schritt in Richtung einer sichereren Nutzung von Office-Anwendungen und unterstreicht Microsofts Engagement, das Risiko von Legacy-Technologien zu minimieren und die Sicherheit seiner Nutzer kontinuierlich zu verbessern.

Schlagwörter: Microsoft + ActiveX + PowerPoint

Wie bewerten Sie den Schreibstil des Artikels?