Microsoft 365 Uygulamaları Artık ActiveX’i Varsayılan Olarak Devre Dışı Bırakıyor
Microsoft, Office belgelerinde yıllardır kullanılan ancak ciddi güvenlik açıklarına neden olan ActiveX desteğini Microsoft 365 uygulamalarında varsayılan olarak devre dışı bırakıyor. Bu değişiklik, geçen yıl Office 2024 sürümünde yapılan benzer bir hamleyi takip ediyor.
Nisan ayı itibarıyla, Windows sürümündeki Microsoft Word, Excel, PowerPoint ve Visio uygulamaları, hiçbir uyarı göstermeden tüm ActiveX içeriklerini otomatik olarak devre dışı bırakacak. Zaten Mac ve web tabanlı Office sürümleri, bu özelliği hiçbir zaman desteklememişti.
Microsoft tarafından yapılan açıklamada, önceki varsayılan ayarın kullanıcıya “minimum kısıtlamayla tüm denetimleri etkinleştirme” seçeneği sunduğu, bunun ise kötü niyetli kişiler tarafından sosyal mühendislik veya zararlı dosyalar yoluyla istismar edilebildiği belirtildi. Yeni ayarla birlikte bu kontrol tamamen engellenecek. Böylece kötü amaçlı yazılım ya da izinsiz kod çalıştırma riskleri önemli ölçüde düşürülecek.
Değişiklik Beta Sürümde Sunuldu, Tüm Kullanıcılara Yayınlanacak
Yeni güvenlik güncellemesi, şu anda Microsoft 365 Beta Kanalı’nda 2504 (Yapı 18730.20030) sürümüyle birlikte sunulmuş durumda. Kısa süre içinde tüm Windows kullanıcılarına yayılması bekleniyor.
Bu değişiklik, ActiveX’in tamamen kaldırılması anlamına gelmiyor. Kurumsal yapılar dilerse bu özelliği tekrar etkinleştirebilecek. Bireysel kullanıcılar da Ayarlar menüsünden sırasıyla şu adımları izleyerek ActiveX kullanımını değiştirebilir: Dosya > Seçenekler > Güven Merkezi > Güven Merkezi Ayarları > ActiveX Ayarları.
İlk kez 1996 yılında kullanıma sunulan ActiveX, Internet Explorer ve Microsoft Office üzerinden etkileşimli içerikler oluşturmayı mümkün kılmıştı. Belgelerdeki düğmeler ve kontrol listeleri gibi öğeler, belge içinde işlem yapılmasını sağlasa da, zamanla kötü amaçlı yazılım yaymak için ideal bir araç hâline geldi.
ActiveX uzun süredir, Windows ayarlarının veya dosyalarının kötü amaçlı belgelerle değiştirilmesine imkân tanıyan açıklarla gündemdeydi. Microsoft, bu tür dosyaların otomatik olarak çalışmasını daha önce engellemişti ancak kullanıcıların “İçeriği Etkinleştir” seçeneğine tıklaması hâlinde tehlike devam ediyordu. Bu yeni düzenlemeyle birlikte, bu seçenek de varsayılan olarak ortadan kalkıyor.
Bu karar, Microsoft’un ActiveX teknolojisini Office uygulamalarından kademeli olarak tamamen kaldırma sürecinin son adımı olarak değerlendiriliyor. Ancak bazı belgeler yalnızca ActiveX ile çalıştığı için, şirket bu özelliği hemen tamamen sonlandırmak yerine temkinli ilerliyor.
Microsoft, 2022 yılında da VBA (Visual Basic for Applications) makrolarını otomatik olarak engelleme kararı almıştı. Bu karar, Office 2021, Office 2019, Office 2016 ve Office 2013 gibi tüm sürümler için geçerli olmuştu.
