- Microsoft Outlook прекратил отображать встроенные SVG-изображения в веб-версии и новом клиенте для Windows для усиления безопасности.
- Изменение затронет менее 0,1% изображений и направлено на предотвращение атак через межсайтовый скриптинг (XSS).
- Ранее в 2025 году компания также заблокировала другие опасные файлы и элементы управления ActiveX, используемые злоумышленниками.
Компания Microsoft объявила о новых мерах по усилению безопасности в своем почтовом сервисе Outlook. Начиная с сентября 2025 года и с ожидаемым завершением внедрения к середине октября, веб-версия Outlook и новый клиент для Windows перестанут отображать встроенные SVG-изображения. Вместо них пользователи будут видеть пустое место. Такой шаг обусловлен тем, что злоумышленники все чаще используют SVG-файлы для распространения вредоносного программного обеспечения и фишинговых форм, что создает угрозы безопасности, включая межсайтовый скриптинг (XSS).
Следует отметить, что изображения в формате SVG, отправленные как классические вложения, останутся поддерживаемыми и будут отображаться привычным образом. Microsoft сообщает, что изменения коснутся менее 0,1% всех изображений, что значит большинство пользователей вряд ли заметит их влияние на работу почты.
Рост активности киберпреступников в использовании SVG-файлов отмечен экспертами еще в начале 2025 года. По данным компании Trustwave, количество фишинговых атак с применением SVG-изображений выросло на 1800% по сравнению с показателями апреля 2024 года. В свете этих данных Microsoft приняла дополнительные меры безопасности: в июне 2025 года стало известно о блокировке в Outlook Web и новом клиенте для Windows файлов с расширениями .library-ms и .search-ms, которые применялись в атаках на государственные учреждения с 2022 года.
Еще одним шагом по снижению рисков стала апрельская инициатива Microsoft, предусматривающая отключение всех элементов управления ActiveX в версиях Microsoft 365 и Office 2024 для Windows, что призвано предотвратить внедрение вредоносного кода.
Таким образом, комплекс мер по усилению безопасности Outlook свидетельствует о серьезном подходе Microsoft к защите пользователей от современных видов кибератак, связанных с использованием мультимедийных и скриптовых форматов. Это решение отражает общий тренд на ужесточение защиты в сфере корпоративных и пользовательских электронных коммуникаций.
