两种不断发展的威胁：JavaScript在Outlook中的Excel和付款处理

曾几何时 - 追溯到单词中的第一个“概念”宏病毒 - Office人们对具有可能的安全影响的新功能是谨慎的。但在过去的几周里，我们已经介绍了两个新功能，这些功能已经“踢我”。

首先，Excel中的JavaScript。我的意思是，可能出错的是什么？

去年12月，Microsoft发布了一个dev Center文章，讨论了使用新的Excel JavaScript API来创建Excel 2016的加载项。

基于Web的Excel加载项运行在浏览器容器中运行，该容器嵌入在桌面的平台上，如Windows Office Office，在Onform Online的HTML Iframe内运行。

5月6日，与Build会议一起，Dev Center添加了此文档：

自定义函数（类似于用户定义的函数或UDF），使开发人员能够使用加载项将任何JavaScript函数添加到Excel。然后，用户可以访问自定义函数，如Excel中的任何其他本机函数（例如= SUM（））。

有很多技术细节，但是这个想法是 - 现在在Excel Beta（Office Insider Program）中开始，您可以编写一个javascript程序，该程序与用户定义的Excel函数相同。

......和黑帽子，白帽子和彩虹帽的人群疯狂。BleepingComputer的劳伦斯亚伯拉姆贴：

在Microsoft宣布的几天内，他们在Excel中引入了自定义JavaScript函数，安全研究员开发了一种使用这种方法在Excel中加载Coinhive In-Brows的JavaScript矿器的方法....当我们报告了新的自定义JS函数时，很快就会看到这种新功能有多有用，人们认为它也将用于更加邪恶的目的。

Charles Daradaman首先是这个帖子：

今天早上，我仔细阅读了微软宣布他们将JavaScript函数添加到Excel的Insiders预览版本中....我甚至在达拉斯黑客的任何人提供给一个小型赏金，他们可以在下个月的聚会上建造和展示它......在进行此优惠后，我开始阅读Microsoft关于如何在Excel中实施JS的实际文件，并决定自己做到这一点。然后，我在Coinhive.com上注册了一个帐户，并开始下载Excel的预览版kmos。经过一小时在我的5MB下互联网上下载预览后，我能够掌握我的手，并在Excel的最新预览版本中获得Coinhive运行。

就像那样。

然后，在Outlook中新宣布的“简化了付款流程”。Dev Centre中的迈克Ammerlaan写作因此解释说：

您的收件箱中的许多电子邮件围绕完成付款交易，例如支付账单或发票。我们很快将在Outlook中引入付款，以帮助用户在电子邮件中支付账单或发票，而无需切换到另一个应用程序或服务。由Microsoft Pay提供支持，Outlook的付款是从电子邮件中付款的快速和安全的方式。要开始，它将得到一些支付处理器，包括条纹和Braintree，包括Zuora的计费服务，以及开票服务，包括新鲜书，Intuit，Invoice2Go，Sage，Wave和Xero。我们也共同努力包括Fiserv，通过Fiserv创新网络。

通过电子邮件向客户发送账单或发票通知的业务现在可以在Outlook中嵌入支付行动。要开始在Outlook中使用付款，请查看我们的文档。请注意，Outlook不是账单支付服务，Microsoft并非作为账单支付代理商。

Outlook中的付款将在接下来的几周内最初在有限数量的Outlook.com客户中推出阶段，并将在未来几个月内更广泛地提供。

是的。什么可能出错？

我一直被指控在过去关于新的“功能”的抱怨，这似乎成熟了痛苦的攻击：“伍迪，没有人会曾经使用那个漏洞，”而且“，”你不会给我们的幻想新的安全系统给予足够的信任。“时间又一次，我已经看到那些新的安全系统失败了。

你怎么看？加入我们的askwoody休息室。