Excel-beveiliging maakt Excel voor macOS juist onveiliger

Het probleem zit in de manier waarop Excel 4.0 en lager omgaat met XML-macro's in SYmbolic LinK-bestanden (SYLK), ontdekte het Carnegie Mellon University CERT Coordination Center, kortweg CERT/CC. In een blogpost legt de universiteit uit dat een XML-macro in SYLk ervoor zorgt dat Microsofts Office het bestand niet opent in de beveiligde weergave. Normaal moet dat wel gebeuren, zodat een gebruiker niet zomaar wordt blootgesteld aan bestanden die mogelijk malware of andere narigheid bevatten.

Staat Excel op een macOS-pc ingesteld met 'Alle macro's uitschakelen, zonder melding', dan moet je actie ondernemen. Weet een hacker je te overtuigen een Excel-bestand te openen en krijg je geen melding van zo'n macro, dan kan er op de achtergrond gevaarlijke code worden uitgevoerd. Dat kan bijvoorbeeld ransomware zijn of malware, maar ook een traditioneel virus. De kwetsbaarheid zit in ieder geval in Office 2016 en Office 2019, ook als deze volledig up-to-date zijn.

Verander de instellingen 

Wie Office op een macOS-pc gebruikt, kan volgens de beveiligingsonderzoekers van de universiteit CERT/CC het beste zijn beveiligingsinstellingen van Office bekijken. Open Excel, klik op 'opties' en dan op 'vertrouwenscentrum'. Ga daarna naar 'macro-instellingen' en zet de instelling - indien nodig - op 'alle macro's uitschakelen, met melding'.

Deze optie is volgens de universiteit het meest veilig totdat Microsoft de kwetsbaarheid dicht. Microsoft zegt tegen DarkReading op de hoogte te zijn van de fout en belooft 'zo snel mogelijk' een update uit te brengen. Hieronder een screenshot van de Windows-instelling;

In juni waarschuwde Microsoft zelf om macro's in Excel uit te schakelen door een fout. Die werd vrij snel opgelost.