Microsoft stopt met VBScript voor JavaScript en PowerShell

Microsoft schetste woensdag zijn plannen om Visual Basic Script (VBScript) in de tweede helft van 2024 af te schaffen ten gunste van meer geavanceerde alternatieven zoals JavaScript en PowerShell.

“De technologie is in de loop der jaren vooruitgegaan, wat aanleiding heeft gegeven tot krachtigere en veelzijdigere scripttalen zoals JavaScript en PowerShell”, zegt Microsoft Program Manager Naveen Shankar. “Deze talen bieden bredere mogelijkheden en zijn beter geschikt voor moderne webontwikkelings- en automatiseringstaken.”

De technologiegigant kondigde oorspronkelijk zijn plannen aan om VBScript in oktober 2023 geleidelijk te beëindigen.

De scripttaal, ook wel Visual Basic Scripting Edition genoemd, werd voor het eerst door Microsoft in 1996 geïntroduceerd als een Windows-systeemcomponent en bood gebruikers de mogelijkheid om taken te automatiseren en interactieve webpagina's te ontwikkelen met behulp van Internet Explorer en Edge (in Internet Explorer-modus).

Het aangekondigde beëindigingsplan bestaat uit drie fasen, waarbij de eerste fase van start gaat in de tweede helft van 2024. Op dat moment zal VBScript beschikbaar zijn als on-demand-functie in Windows 11 24H2.

De tweede fase, die naar verwachting rond 2027 van start gaat, zal nog wel over de feature on-demand beschikken, maar zal niet meer standaard ingeschakeld zijn. Er wordt verwacht dat VBScript op een onbepaalde datum in de toekomst volledig buiten gebruik zal worden gesteld en uit het Windows-besturingssysteem zal worden geëlimineerd.

“Dit betekent dat alle dynamische linkbibliotheken (.dll-bestanden) van VBScript zullen worden verwijderd”, aldus Shankar. “Als gevolg hiervan zullen projecten die afhankelijk zijn van VBScript niet meer functioneren. Tegen die tijd verwachten we dat je bent overgestapt op voorgestelde alternatieven.”

De ontwikkeling komt dagen nadat Microsoft zijn plannen heeft bevestigd om NT LAN Manager (NTLM) in Windows 11 in de tweede helft van het jaar af te schaffen ten gunste van Kerberos voor authenticatie.

Het is bekend dat zowel NTLM als VBScript door bedreigingsactoren worden misbruikt om kwaadaardige activiteiten uit te voeren, wat Redmond ertoe aanzet functies te verwijderen in een poging het aanvalsoppervlak te minimaliseren.

VBScript

Microsoft heeft sindsdien ook Excel 4.0 (XLM)-macro's en Visual Basic for Applications (VBA)-macro's uitgeschakeld, XLL-invoegtoepassingen geblokkeerd en de mogelijkheid uitgerold om te voorkomen dat gebruikers risicovolle bestandsextensies openen in OneNote.

Microsoft komt in de problemen met terugroepactie

Het nieuws over de afschaffing van VBScript volgt ook op kritiek dat de nieuw aangekondigde Recall-functie op basis van kunstmatige intelligentie (AI) van Microsoft aanleiding geeft tot privacyproblemen en de veiligheid van Windows ondermijnt.

Recall wordt geadverteerd als een “verkenbare tijdlijn van het verleden van uw pc” en een manier voor gebruikers om “virtueel toegang te krijgen tot wat u op uw pc hebt gezien of gedaan op een manier die aanvoelt als een fotografisch geheugen.” Het is momenteel alleen beschikbaar op Copilot+ pc's.

Volgens de eigen documentatie van Microsoft slaat de Recall-systeemcomponent periodiek momentopnamen op van het actieve venster van de gebruiker en slaat deze lokaal op. Vervolgens maakt het gebruik van schermsegmentatie en beeldherkenning om er inzichten uit te halen en slaat het de gegevens op in een semantische index.

Externe app-ontwikkelaars kunnen deze functie ook benutten door gebruikers de mogelijkheid te bieden deze opgeslagen snapshots semantisch te doorzoeken en inhoud met betrekking tot hun applicaties naar boven te halen.

VBScript

Microsoft heeft snel benadrukt dat Recall de inhoud lokaal op het apparaat verwerkt en dat snapshots worden gecodeerd door Device Encryption of BitLocker. Het merkt ook op dat snapshots niet worden gedeeld met andere gebruikers die op hetzelfde apparaat bij Windows zijn aangemeld.

“Recall bewaart geen inhoud van uw privé-browsingactiviteit wanneer u Microsoft Edge, Google Chrome of andere Chromium-gebaseerde browsers gebruikt”, aldus het bedrijf. “Recall behandelt materiaal dat is beschermd met Digital Rights Management (DRM) op dezelfde manier.”

Maar een cruciaal voorbehoud bij Recall is dat het geen inhoudsmoderatie uitvoert, wat betekent dat het de inhoud in vertrouwelijke documenten of gevoelige informatie zoals wachtwoorden of financiële rekeningnummers die zijn ingevoerd op websites die niet de standaard internetprotocollen volgen, zoals het verbergen van wachtwoordinvoer, niet zal verbergen.

Het Britse Information Commissioner's Office (ICO) zei dat het contact heeft met Microsoft om te begrijpen welke waarborgen er zijn om de privacy van gebruikers te beschermen.

“We verwachten dat organisaties transparant zijn tegenover gebruikers over hoe hun gegevens worden gebruikt en persoonlijke gegevens alleen verwerken voor zover dat nodig is om een ​​specifiek doel te bereiken”, aldus de ICO.

“De industrie moet vanaf het begin rekening houden met gegevensbescherming en de risico’s voor de rechten en vrijheden van mensen rigoureus beoordelen en beperken voordat producten op de markt worden gebracht.”

Beveiligingsonderzoeker Kevin Beaumont beschreef Recall als een “keylogger (…) ingebakken in Windows” en dat het ontbreken van veiligheidsrails bedreigingsactoren die een systeem al op andere manieren hebben gecompromitteerd, in staat zou kunnen stellen momentopnamen te stelen en waardevolle informatie te verzamelen.

“Met Recall kun je als kwaadwillende hacker de handig geïndexeerde database en schermafbeeldingen maken zodra je toegang krijgt tot een systeem – standaard inclusief drie maanden geschiedenis”, aldus Beaumont.

Thijs Van der Does