两种不断发展的威胁:JavaScript在Outlook中的Excel和付款处理
曾几何时 - 追溯到单词中的第一个“概念”宏病毒 - Office人们对具有可能的安全影响的新功能是谨慎的。但在过去的几周里,我们已经介绍了两个新功能,这些功能已经“踢我”。
首先,Excel中的JavaScript。我的意思是,可能出错的是什么?
[进一步阅读:10个出现的新方法与Excel一起显示数据]去年12月,Microsoft发布了一个dev Center文章,讨论了使用新的Excel JavaScript API来创建Excel 2016的加载项。
基于Web的Excel加载项运行在浏览器容器中运行,该容器嵌入在桌面的平台上,如Windows Office Office,在Onform Online的HTML Iframe内运行。
5月6日,与Build会议一起,Dev Center添加了此文档:
自定义函数(类似于用户定义的函数或UDF),使开发人员能够使用加载项将任何JavaScript函数添加到Excel。然后,用户可以访问自定义函数,如Excel中的任何其他本机函数(例如= SUM())。
有很多技术细节,但是这个想法是 - 现在在Excel Beta(Office Insider Program)中开始,您可以编写一个javascript程序,该程序与用户定义的Excel函数相同。
......和黑帽子,白帽子和彩虹帽的人群疯狂。BleepingComputer的劳伦斯亚伯拉姆贴:
在Microsoft宣布的几天内,他们在Excel中引入了自定义JavaScript函数,安全研究员开发了一种使用这种方法在Excel中加载Coinhive In-Brows的JavaScript矿器的方法....当我们报告了新的自定义JS函数时,很快就会看到这种新功能有多有用,人们认为它也将用于更加邪恶的目的。
Charles Daradaman首先是这个帖子:
今天早上,我仔细阅读了微软宣布他们将JavaScript函数添加到Excel的Insiders预览版本中....我甚至在达拉斯黑客的任何人提供给一个小型赏金,他们可以在下个月的聚会上建造和展示它......在进行此优惠后,我开始阅读Microsoft关于如何在Excel中实施JS的实际文件,并决定自己做到这一点。然后,我在Coinhive.com上注册了一个帐户,并开始下载Excel的预览版kmos。经过一小时在我的5MB下互联网上下载预览后,我能够掌握我的手,并在Excel的最新预览版本中获得Coinhive运行。
就像那样。
然后,在Outlook中新宣布的“简化了付款流程”。Dev Centre中的迈克Ammerlaan写作因此解释说:
您的收件箱中的许多电子邮件围绕完成付款交易,例如支付账单或发票。我们很快将在Outlook中引入付款,以帮助用户在电子邮件中支付账单或发票,而无需切换到另一个应用程序或服务。由Microsoft Pay提供支持,Outlook的付款是从电子邮件中付款的快速和安全的方式。要开始,它将得到一些支付处理器,包括条纹和Braintree,包括Zuora的计费服务,以及开票服务,包括新鲜书,Intuit,Invoice2Go,Sage,Wave和Xero。我们也共同努力包括Fiserv,通过Fiserv创新网络。
通过电子邮件向客户发送账单或发票通知的业务现在可以在Outlook中嵌入支付行动。要开始在Outlook中使用付款,请查看我们的文档。请注意,Outlook不是账单支付服务,Microsoft并非作为账单支付代理商。
Outlook中的付款将在接下来的几周内最初在有限数量的Outlook.com客户中推出阶段,并将在未来几个月内更广泛地提供。
是的。什么可能出错?
我一直被指控在过去关于新的“功能”的抱怨,这似乎成熟了痛苦的攻击:“伍迪,没有人会曾经使用那个漏洞,”而且“,”你不会给我们的幻想新的安全系统给予足够的信任。“时间又一次,我已经看到那些新的安全系统失败了。
你怎么看?加入我们的askwoody休息室。