In de nieuwe versie van zijn kantoorautomatisering Office 2007 heeft Microsoft het bestandsformaat op XML gebaseerd. Net als in Outlook en Outlook Express kan de software omgaan met documenten die van de standaard afwijken. Dit brengt aanzienlijke beveiligingsrisico’s met zich mee.
Doordat Openxml zoals het nieuwe bestandsformaat officieel heet niet volledig op de industriestandaard voor XML is gebaseerd wordt het straks mogelijk om systemen te compromiteren met xml-documenten waarin exploits verwerkt zitten. “Net zoals Microsoft zich niet houdt aan RFC 1521 voor het versturen van mail om zoveel mogelijk mailtjes te kunnen laten zien, zo houdt het nieuwe Office 2007 zich niet aan de conventies rond XML. Net als in Outlook en Outlook Express kan de hacker zich hierdoor uitleven om via allerlei verschillende constructies schadelijke code te verwerken in documenten”, zegt Righard Zwienenberg van antivirus-specialist Norman, die met een groep internationale experts uitvoerig gekeken heeft naar de nieuwe Office-software.
Volgens Zwienenberg biedt de introductie van XML-documenten in Microsoft Office soortgelijke mogelijkheden als de macro-virussen van weleer. “Het opstarten van macro’s in Office-documenten is een tijdje een gangbare methode geweest om computervirussen te verspreiden. Die rijke omgeving is straks terug als zij XML in het nieuwe Office hebben ontdekt”, aldus Zwienenberg. Een echte terugkeer van de macrovirussen verwacht hij overigens niet, omdat de macro’s in het nieuwe Office in een apart bestand ondergebracht zijn, waardoor ze goed en gemakkelijk te scannen zijn.
Fabrikanten van antivirussoftware en malwarefilters zullen alles uit de kast moeten trekken om de XML-documenten goed te kunnen scannen. Dat zal de nodige tijd kosten. Door XML worden documenten tamelijk groot. Daarnaast moeten scanners eerst XML-documenten interpreteren om het leesbaar te maken. De scansoftware moet vervolgens het hele document uitkammen om te controleren of er geen kwaadaardige objecten in verwerkt zijn. “De kans is groot dat controle vooraf bij grote documenten misschien teveel tijd en geheugen zal vergen”, stelt Zwienenberg. Hij gaat verder onderzoek doen zodra de officiële release van Office 2007 beschikbaar is.