Las funciones personalizadas podrían ser aprovechadas por los atacantes.

Microsoft ha agregado la capacidad de que los usuarios creen funciones de JavaScript personalizadas en hojas de cálculo de Excel, lo cual despertó preocupación entre los expertos en seguridad.

Según los gerentes de programa de Excel, Michael Saunders y Johnnie Thomas, quienes presentaron la nueva función en la conferencia de desarrolladores de Microsoft Build de esta semana, las funciones de JavaScript personalizadas amplían las propias funciones de fórmula de la hoja de cálculo.

Las funciones de Javascript definidas por el usuario permiten a los desarrolladores de Microsoft Office programar operaciones matemáticas, importar información de sitios web como saldos de cuentas bancarias y transmitir datos en vivo, dijeron Saunders y Thomas.

Sin embargo, los expertos en seguridad han expresado su preocupación sobre el potencial de Javascript de ser abusado por actores maliciosos para ejecutar código arbitrario en las computadoras de los usuarios.

"Puedo pensar en algunos ejemplos más que los desarrolladores maliciosos podrían estar ansiosos por probar", comentó el veterano de la industria antivirus Graham Cluley.

En febrero de este año, se encontró una versión comprometida de la biblioteca de accesibilidad Browesealoud Javascript en miles de sitios web del gobierno australiano. Intentaba utilizar las computadoras de los visitantes para minar criptomonedas.

El investigador de seguridad Charles Dardaman publicó en Twitter que ya había logrado que la minería de criptomonedas Coinhive se ejecutara a través de una función personalizada de JavaScript de Excel.

Las funciones personalizadas de Javascript están disponibles en vista previa solo en esta etapa, para los usuarios que aceptaron participar en el programa interno de los primeros usuarios de Microsoft.

Microsoft siempre ha estado interesado en agregar soporte JavaScript para desarrolladores de Office.

Introdujo las interfaces de programación de aplicaciones de JavaScript de Excel en septiembre del año pasado, y dijo que la funcionalidad se seguiría ampliando para permitir a los desarrolladores crear soluciones poderosas dentro de la hoja de cálculo.

Artículos relacionados:

• Publican un análisis de las vulnerabilidades de Windows reportadas en cinco años
• Microsoft advierte a usuarios sobre ataques de malware sin macros
• Los sitios web de Showtime usan procesamiento de los visitantes para minar criptomoneda