In de nieuwe versie van zijn kantoorautomatisering Office 2007 heeft Microsoft het bestandsformaat op XML gebaseerd. Net als in Outlook en Outlook Express kan de software omgaan met documenten die van de standaard afwijken. Dit brengt aanzienlijke beveiligingsrisico's met zich mee.
Doordat Openxml zoals het nieuwe bestandsformaat officieel heet niet volledig op de industriestandaard voor XML is gebaseerd wordt het straks mogelijk om systemen te compromiteren met xml-documenten waarin exploits verwerkt zitten. "Net zoals Microsoft zich niet houdt aan RFC 1521 voor het versturen van mail om zoveel mogelijk mailtjes te kunnen laten zien, zo houdt het nieuwe Office 2007 zich niet aan de conventies rond XML. Net als in Outlook en Outlook Express kan de hacker zich hierdoor uitleven om via allerlei verschillende constructies schadelijke code te verwerken in documenten", zegt Righard Zwienenberg van antivirus-specialist Norman, die met een groep internationale experts uitvoerig gekeken heeft naar de nieuwe Office-software.
Volgens Zwienenberg biedt de introductie van XML-documenten in Microsoft Office soortgelijke mogelijkheden als de macro-virussen van weleer. "Het opstarten van macro's in Office-documenten is een tijdje een gangbare methode geweest om computervirussen te verspreiden. Die rijke omgeving is straks terug als zij XML in het nieuwe Office hebben ontdekt", aldus Zwienenberg. Een echte terugkeer van de macrovirussen verwacht hij overigens niet, omdat de macro's in het nieuwe Office in een apart bestand ondergebracht zijn, waardoor ze goed en gemakkelijk te scannen zijn.
Fabrikanten van antivirussoftware en malwarefilters zullen alles uit de kast moeten trekken om de XML-documenten goed te kunnen scannen. Dat zal de nodige tijd kosten. Door XML worden documenten tamelijk groot. Daarnaast moeten scanners eerst XML-documenten interpreteren om het leesbaar te maken. De scansoftware moet vervolgens het hele document uitkammen om te controleren of er geen kwaadaardige objecten in verwerkt zijn. "De kans is groot dat controle vooraf bij grote documenten misschien teveel tijd en geheugen zal vergen", stelt Zwienenberg. Hij gaat verder onderzoek doen zodra de officiële release van Office 2007 beschikbaar is.
Is ASCII niet een oplossing?
Structuur is NIET alles, maar WEL interesant!
Sytse kan de plank niet verder misslaan. De veiligheid gaat juist met sprongen vooruit. In een Word ‘docx’ file wordt gegarandeerd geen macro code uitgevoerd.
Een Open XML document dat de standaard niet volgt, kan uberhaubt niet worden geopend. Ook is er niet iets als ‘meer of minder XML’, XML op zich is niets meer dan een schrijfwijze. Vergeet een < en je document is kapot, zoals dit normaal is voor XML. Ook voor anti-virus bedrijven is het makkelijker, text laat zich gemakkelijk parsen / scannen, zeker ten opzichte van het oude gesloten binary formaat. Verder gebruikt Outlook(express) helemaal geen Open XML, dit is alleen beschikbaar binnen Word, Excel en Powerpoint. Ook macro virussen hebben niks te maken met Open XML, dit is alleen het opslagformaat, macro's worden runtime uitgevoerd. Juist door Open XML wordt het lastiger om macro's ongezien te laten uitvoeren omdat ze niet ongezien mee worden gestuurd, je stuurt nu immers een 'macro-enabled document' ofwel 'docm'. Jammer Sytse.