Microsoft Office: ActiveX wird abgedreht
Länger war es still darum, aber ActiveX gibt es noch. Kommende Microsoft Office-Versionen schalten die Unterstützung endlich ab. Zumindest fast.
(Bild: IB Photography/Shutterstock.com)
Microsoft hat angekündigt, mit den kommenden Microsoft-Office-Versionen die ActiveX-Unterstützung standardmäßig abzuschalten. Damit rückt das Ende der als äußerst unsicher geltenden ActiveX-Komponenten unaufhaltsam näher.
Im Admin-Message-Center hat Microsoft die Änderungen erläutert. "Die Einstellung für ActiveX-Objekte ändert sich von 'Nachfragen, bevor alle Controls mit minimalen Beschränkungen aktiviert werden' auf 'Deaktivere alle Controls ohne Benachrichtigung'. Diese Änderung betrifft die Win32-Desktop-Versionen von Word, Excel, Powerpoint und Visio", schreibt Microsoft dort. Die Einstellung entspreche der bereits verfügen Gruppenrichtlinie "DisableAllActiveX".
Praktische Auswirkungen
Für das kommende Microsoft Office 2024 werden die Änderungen zum Release-Termin im Oktober dieses Jahres in Kraft treten. Wer Microsoft-365-Apps einsetzt, bekommt die Änderungen im Rahmen eines stufenweise Ausrollens ab April 2025 auf die Systeme angewendet. "Nutzerinnen und Nutzer können ActiveX-Objekte in Office-Dokumenten nicht mehr erstellen oder damit interagieren, sofern diese Änderung implementiert wurde", erklärt Microsoft. "Manche bestehende ActiveX-Objekte werden als statisches Bild sichtbar bleiben, es ist jedoch nicht möglich, mit ihnen zu interagieren".
In "nicht-kommerziellen Artikelnummern" von Office (non-commercial SKUs) erscheint in so einem Fall Microsofts Angaben zufolge ein Hinweis über blockierte Inhalte: "BLOCKED CONTENT: Default Setting for ActiveX Controls have changed. Please go to Trust Center to review your ActiveX settings", steht auf einem Screenshot davon zu lesen.
ActiveX: Wieder nicht ganz rausgeworfen
Microsoft zieht damit ActiveX aber noch nicht endgültig den Stecker. IT-Verantwortliche können etwa durch das Setzen der Gruppenrichtlinie "Disable All ActiveX" auf "0" das derzeitige Verhalten wiederherstellen. Betroffene Nutzerinnen und NUtzer können hingegen entweder im Trust Center in den ActiveX-Einstellungen auf 'Nachfragen, bevor alle Controls mit minimalen Beschränkungen aktiviert werden' zurückstellen. Oder denselben Effekt hat das Setzen des Registry-Schlüssels HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\DisableAllActiveX auf "0", erörtert Microsoft.
ActiveX gilt mindestens seit 2003 als inhärent unsicher. Heise-Security-Leiter Jürgen Schmidt schrieb damals im Kommentar: "Die Security-Advisories von Symantec und Trend Micro zeigen: So etwas wie ein "sicheres ActiveX-Control" gibt es nicht". Seitdem hat Microsoft oftmals am ActiveX-System herumgebastelt, etwa das Deaktivieren von einzelnen ActiveX-Modulen im Internet Explorer ermöglicht. Aber am Ende erwies sich ActiveX stets als potenzielles Einfallstor für Malware und Cyberkriminelle.
(dmk)
