Microsoft blokkerer bilder av inline skalerbar vektorgrafikk (SVG) i sine e-postklienter for å bekjempe en bølge i sofistikerte phishing-angrep.
Endringen, som påvirker Outlook for Web og de nye Outlook for Windows, begynte å rulle ut i begynnelsen av september 2025 og er forventet å være komplett i midten av denne EKTOCTOCTOCTOCTOCTOCTOCTE.
Ondsinnede skript som kan omgå sikkerhetsfiltre og stjele brukeropplysninger.
sagt i en Microsoft 365 Meldingssenter på tirsdag.
Hvorfor SVG-bilder ble en sikkerhetsblind flekk
Kjernen i sårbarheten ligger i selve SVG-formatet. I motsetning til rasterbilder som JPEG-er, er SVG-er XML-baserte.
Denne strukturen lar dem inneholde kjørbar kode, som JavaScript og HTML, som angripere har våpnet for å lage phish-sider eller omdirigerer brukere til å ha ondsinnet nettsteder.
denne teknikken har bevist at de har en storm-e-post som har en tøffing som er i ferd med å lage SoTws som har en videregående bilder. Resultatet har vært en dramatisk pigg i deres bruk. Sikkerhetsfirmaet Trustwave rapporterte en
Kaspersky bekreftet denne trenden, Detekterer over 2,825 ondsinnet SVG-e-post i det første kvartalet på 2025 alene. Økningen er også drevet av spredning av phishing-as-a-Service (PHAAS)-plattformer som gir ferdige sett for å lansere disse komplekse angrepene.
Microsofts svar: Deaktivering av inline SVG-er i Outlook
i respons på denne escalating trussel
. Ved å forhindre SVG-Potensielle sikkerhetsrisikoer, for eksempel angrep på tvers av nettsteder (XSS).”
Denne balanserte tilnærmingen gir mulighet for fortsatt bruk av SVG-er som vedlegg, der de er underlagt mer kontroll og krever eksplisitt brukerhandling for å åpne, mens du lukker et farlig angrepsvektor.
Dette trekket er kritisk i et talt sikkerhetsmiljø. Som tidligere rapportert av Winbuzzer, tredoblet phishing-klikkfrekvensene i 2024, drevet av angriper kreativitet og brukerutmattelse. SVG-vektoren er bare den siste utviklingen i dette pågående slaget.
En bredere strategi for å herde Microsoft 365
Denne beslutningen er ikke en isolert fix, men en del av et bredere, på lang sikt-strategi av Microsoft for å redusere angrepet som har vært et produkt Ecossystem.
I løpet av de siste årene har Microsoft som standard blokkert VBA Office-makro href=”https://learn.microsoft.com/en-us/powershell/module/exchangepowershell/set-owamailboxpolicy?view=exchange-ps#-blokedfiletypes”Target=”_ blank”> utvidet listen over blokkerte filtyper i outlook til Incluct=”_ blank”> utvidet listen over blokkerte filtyper. Hver av disse endringene representerer en bevisst avveining, og prioriterer sikkerhet fremfor arvfunksjonalitet.
Mens den nåværende bølgen av SVG-angrep ofte fører til legitimasjonstyveri, advarer sikkerhetseksperter om større farer. Som Kaspersky-forskere bemerket,”Bruken av SVG som en beholder for ondsinnet innhold kan også brukes i mer sofistikerte målrettede angrep.”Dette fremhever nødvendigheten av endringer på plattformnivå som Microsofts, som forstyrrer verktøyene som brukes av angripere for både utbredte og målrettede kampanjer.