OOXML bir yılan hikayesine dönüşmeye adayken, her gün ortaya çıkan farklı bir sorun Microsoft'un ve ISO'nun işini giderek zorlaştırıyor. Çeşitli ISO üyesi ülkelerden gelen itirazlar neticesinde ilan edilmesi askıya alınan OOXML ile ilgili ECMA ve ISO yetkilileri bir araya gelip çalışırken bilişim dünyasının uzman isimleri OOXML ile ilgili kaygılarını dile getirmeye devam ediyor.

Bu eleştirileri dile getirmeden önce OOXML'deki muhtemel güvenlik açıklarının temeline inmekte fayda var. 7.228 sayfalık OOXML belirtim belgesinde makro kullanımı ile ilgili herhangi bir bilgi bulunmuyordu. Hepimizin bildiği gibi geçtiğimiz 15 yılda gelişen ofis programları bizlere zengin metin editörleri, çoklu ortam seçenekleri sunmanın yanı sıra ayrıca sayısal belgelerimizi programlama ve onları amaçlarımıza göre uyarlama şansı da veriyordu. Makro, yeni bir kavram olmadığı gibi pek çok insanın özellikle hesap tablolarında kullandığı bir araç. OOXML metnini içeren ISO DIS 29500 ise makrolarla ilgili hiçbir tanımlama yapmıyor. Belgenin sadece bir makronun "Makro butonu" ile tetiklenebildiği belirtiliyor. Halbuki OOXML gibi bir belgede makrolarla ilgili aşağıda yer alan sorular cevaplanmalı.

• Taşıyıcı dosyada makro betiği nasıl ve nerede saklanacak?
• Belge ile makro nasıl etkileşim kuracak?
• Makro alt yapısı hangi dil ile oluşturulacak?
• Temel ve eklentiler ile makro API'si nasıl oluşturulacak?
• Güvenlik modeli nedir?

Tahmin edebileceğiniz gibi OOXML bu soruları yanıtlayamıyor ve tüm bu sorular yanıtlanmadan OOXML'in birlikte işlerlik koşullarını yerine getiren ve üretici bağımsız bir standart olma şansı ne yazık ki yok.

Birlikte işlerlik bir yana, OOXML'in bu soruları yanıtlamadığı için hayatımıza sokacağı en büyük sorun güvenlik açıkları ve makro virüsleri olacak. Her üretici makrolar için kendi ikili dosyalalarını belgeye ekleyebiliyor. Teorik olarak bir belgeyi açan kişinin sistemde yönetici olması durumunda kötü niyetli bir kod kullanıcının haklarına sahip olarak sistemde istediği değişikliği (dosya yazma, silme, kayıt defteri ayarlarını değiştirme, internetten dosya indirme ya da yükleme gibi) yapabilir. 1997 yılından başlayarak dünyayı saran makro virüsleri (Örneğin, 1999'da çok hızlı yayılan ve çok tehlikeli olan Melissa gibi) OOXML'in standart olması ile beraber çok daha gelişmiş ve tehlikeli bir şekilde aramıza dönebilirler.

OOXML tabanlı bir üretim yapan üreticinin hangi dilde yazılmış makro API'sini kullanacağı belli olmadığından bu tip virüslerin ve zararlı kodların 3. parti güvenlik yazılımları tarafından yakalanması da son derece güç olacak. Bunun dışında OOXML ile birlikte çalışabilen programların makro ile ilgili standart bir çözüm olmaması nedeniyle başka üreticilerin programları ile yaratılan dosyaları açması, işlemesi ve çeşitli düzeylerde güvenlik önlemi alması da mümkün olmayacak.

OOXML ile ilgili bu eleştirilere yönelik bir örnek çalışmanın yapılıp teknik verilerin açığa çıkarılması da Microsoft'un bu alandaki sert tutumu nedeni ile pek mümkün gibi görünmüyor. Microsoft daha önce ActiveX konusunda benzer bir araştırma yapan Tracy Reed hakkında bilgisayar korsanlığı ve Microsoft markasını kötülemek nedeni ile dava açmış ve davada Tracy Reed suçlu bulunmuştu.

OOXML'in bu hali ile standart olarak ilan edilmesi durumunda bizleri ciddi bir virüs tehlikesi bekliyor demektir.