Microsoft voegt begin volgend jaar de beveiligingsoptie Office File Validation (OFV) toe aan Office 2003 en 2007. Opvallend, want die functie is nu alleen nog beschikbaar in Office 2010. OFV controleert of Officedocumenten aan de standaard voldoen. Is dat niet zo dan opent Office 2010 de bestanden in een sandbox. Het is dan alleen mogelijk om het bestand te bekijken, waardoor er niets uitgevoerd kan worden in het bestand. Zo wil Microsoft de besmetting van computers via documenten met exploits tegengaan.

Waarschuwing

In de oudere versies van Office zal dat niet helemaal hetzelfde zijn. Hoewel het systeem achter OFV in die versies hetzelfde wordt, ontberen Office 2003 en 2007 een sandbox. Gebruikers die een dubieus bestand openen worden dus niet doorgestuurd naar een beveiligde omgeving.

In plaats daarvan krijgen zij een waarschuwing waarin Office hen erop wijst dat het bestand mogelijk besmet is met malware. Gebruikers kunnen die waarschuwing negeren en het bestand toch openen. Zo kunnen zij toch besmet raken door een gevaarlijk document.

80% van de beveilingsproblemen

Jerry Bryant van Microsoft vertelt tegen onze Amerikaanse zusteruitgave Computerworld dat de beveiligingsupdate optioneel wordt. Gebruikers hoeven hem niet te downloaden, maar Microsoft gaat er wel op aandringen dat gebruikers de software op hun computer installeren.

Microsoft besloot om de twee vorige versies van de officesuite uit te rusten met OFV na een onderzoek waarin men beveiligingsgegevens van de afgelopen vier jaar analyseerde. Daar bleek uit dat 80% van de beveiligingsproblemen met Office gestopt zouden zijn door Office File Validation. Kwetsbaarheden in het bestandsformaat zijn namelijk de grootste bedreiging voor gebruikers van Office.

Regelmatige updates

Het team achter Microsoft Office is van plan in de toekomst regelmatig updates voor de beveiliging uit te brengen, vergelijkbaar met updates voor virusscanners. Gebruikers met Office zijn dan ook beschermd tegen recent gevonden kwetsbaarheden in het bestandsformaat van Office. “Dat zal echter niet gebeuren in de nabije toekomst”, zegt Bryant, “maar als het er komt, wordt het overgrote deel van de kwetsbaarheden in Office afgezwakt door deze technologie”.

Microsoft Office File Validation beschermt overigens alleen bestanden die zijn gemaakt volgens het ‘oude’, binaire Office bestandsformaat. Bestanden in het nieuwe Office Open XML worden er niet door beschermd.