O Microsoft Office oferece suporte ao ActiveX há anos como uma opção para extensibilidade e automação de documentos, mas também é uma séria vulnerabilidade de segurança. Agora, a Microsoft está finalmente começando a desabilitar o ActiveX em aplicativos do Microsoft 365, seguindo uma medida semelhante com o pacote Office 2024 no ano passado.
Mudanças importantes de segurança
A partir deste mês, as versões para Windows do Microsoft Word, Excel, PowerPoint e Visio no Microsoft 365 desabilitarão todo o conteúdo ActiveX por padrão, sem exibir uma notificação. As versões para Mac e Web do Office nunca foram compatíveis com ActiveX.
" A configuração padrão anterior permitia que os usuários habilitassem controles ActiveX potencialmente perigosos, que poderiam ser explorados por hackers por meio de engenharia social ou arquivos maliciosos. A nova configuração padrão é mais segura porque bloqueia completamente esses controles, reduzindo o risco de malware ou execução não autorizada de código " , afirmou a Microsoft em uma publicação no blog.
Essa alteração foi implementada no Microsoft Office 2024, mas agora também se aplicará aos aplicativos do Microsoft 365 baseados em assinatura. O recurso está atualmente disponível no Canal Beta para a versão 2504 (Build 18730.20030) e superiores e será lançado para todos os usuários do Windows em breve.

O ActiveX não foi completamente removido
É importante observar que o ActiveX não é completamente removido dos aplicativos do Office. Algumas organizações ainda podem ter esse recurso habilitado, e contas individuais podem reabilitá-lo acessando:
Arquivo > Opções > Central de Confiabilidade > Configurações da Central de Confiabilidade > Configurações do ActiveX > Avisar antes de habilitar todos os controles com restrições mínimas .
A Microsoft lançou a primeira versão do ActiveX em 1996, permitindo que páginas da web no Internet Explorer e documentos do Office incorporassem códigos complexos e conteúdo interativo. Por exemplo, o ActiveX pode criar botões e listas de verificação em documentos do Office que podem modificar o documento ou executar ações externas quando clicados.
Embora o ActiveX tenha alguns usos legítimos, ele é mais conhecido por ataques de phishing e malware. Houve várias vulnerabilidades do ActiveX que permitem que um documento aparentemente seguro do Word ou PowerPoint altere as configurações e arquivos do Windows. Também é uma ameaça frequente à segurança e à privacidade no Internet Explorer e nunca chegou ao Microsoft Edge.
A Microsoft atualizou anteriormente os aplicativos do Office para não executar automaticamente conteúdo ActiveX, mas alguns arquivos maliciosos ainda podem induzir os usuários a clicar no botão "Habilitar conteúdo". A remoção dessa opção por padrão pela Microsoft deve ajudar a reduzir ataques, ao mesmo tempo em que permite que o ActiveX seja executado se for absolutamente necessário.
A alteração acima parece ser a etapa final antes que o ActiveX seja removido completamente do Office, mas não está claro quando (ou se) isso acontecerá. Alguns documentos só funcionam corretamente com o ActiveX, e a nova plataforma de complementos da Microsoft não é uma substituição completa.
Desabilitar o ActiveX é mais um passo nos esforços da Microsoft para reduzir os riscos de segurança, especialmente porque os ataques de phishing e malware se tornam mais sofisticados.