JavaScript trong Excel

Microsoft thêm tính năng hỗ trợ JavaScript trong Excel, lợi bất cập hại?

May 10, 2018 | vietsunshine

Ngay sau khi Microsoft công bố hỗ trợ cho các chức năng JavaScript tùy chỉnh trong Excel, một vài người đã chứng minh rằng nó có thể sử dụng cho mục đích xấu.

Như đã hứa hồi năm ngoái tại hội nghị Ignite 2017 của Microsoft, công ty đã đưa chức năng JavaScript tùy chỉnh vào Excel để làm việc tốt hơn với dữ liệu.

Chức năng sử dụng JavaScript cho bảng tính Excel hiện đã có mặt trên nhiều nền tảng khác nhau bao gồm Windows, macOS và Excel Online, cho phép các nhà phát triển tạo các công thức mạnh mẽ của riêng họ.

Nhưng một vài vấn đề đã được đặt ra.

Nhà nghiên cứu bảo mật Charles Dardaman đã tận dụng tính năng này để cho thấy cách dễ dàng để  nhúng tập lệnh khác thác tiền ảo từ CoinHive vào bên trong bảng tính MS Excel và chạy nó trong background khi được mở.

“Để chạy Coinhive trong Excel, tôi đã theo dõi tài liệu chính thức của Microsoft và chỉ thêm hàm của riêng tôi”, Dardaman nói.

Đây là tài liệu chính thức của Microsoft để tìm hiểu cách chạy các hàm JavaScript tùy chỉnh trong Excel.

JavaScript cho Excel sẽ có lại ít mối đe dọa hơn?

Cần lưu ý rằng Add-ins của Excel, API chịu trách nhiệm chạy các hàm JavaScript không thực thi theo mặc định ngay lập tức sau khi mở bảng tính được nhúng JS. Thay vào đó, người dùng cần tải thủ công và chạy các hàm JavaScript thông qua tính năng bổ trợ (add-ins) Excel lần đầu tiên và sau đó nó sẽ được thực thi tự động mỗi khi tệp Excel được mở trên cùng một hệ thống.

Hơn nữa, khi bạn cố gắng chạy một hàm JavaScript trong trang tính Excel kết nối với máy chủ bên ngoài, Microsoft sẽ nhắc người dùng cho phép hoặc từ chối kết nối, ngăn chặn mã trái phép thực thi.

Vì vậy, JavaScript cho Excel chưa gây ra nhiều mối đe dọa trong thời điểm hiện tại, trừ khi ai đó tìm thấy một cách để thực hiện nó tự động mà không yêu cầu bất kỳ tương tác nào của người dùng.

Bên cạnh đó, Microsoft cũng đã xác nhận rằng Excel add-in hiện đang dựa vào một quá trình trình duyệt ẩn để chạy các chức năng tùy chỉnh, nhưng trong tương lai, nó sẽ chạy JavaScript trực tiếp trên một số nền tảng để tiết kiệm bộ nhớ.

Tags: , , ,