Microsoft сообщает, что веб-версия Outlook и новый клиент Outlook для Windows больше не будут отображать встроенные изображения SVG, которые могут использовать злоумышленники. Отключение началось в сентябре 2025 года, и ожидается, что будет завершено для всех клиентов к середине октября 2025 года, пишет Bleeping Computer.
Вместо SVG-изображения пользователь будет видеть пустое место. Это изменение затронет менее 0,1% всех изображений, которые встречаются в Outlook, поэтому большинство пользователей не заметит последствий, отмечает компания.
«Изображения в формате SVG, отправленные в виде классических вложений, будут по-прежнему поддерживаться и отображаться. Это обновление помогает снизить потенциальные риски для безопасности, такие как межсайтовый скриптинг (XSS)», — сообщила Microsoft.
За последние несколько лет злоумышленники активно использовали файлы SVG для распространения вредоносного ПО и отображения фишинговых форм. Например, весной 2025 года компания Trustwave сообщила, что атаки с использованием SVG стали более целенаправленными и превратились в фишинговые кампании: в начале 2025 года их количество выросло на 1800% по сравнению с данными, собранными с апреля 2024 года.
В июне 2025 года Microsoft также объявила, что в Outlook Web и новом Outlook для Windows будет блокировать типы файлов .library-ms и .search-ms, которые использовались в атаках на государственные учреждения и применялись в фишинговых и вредоносных атаках как минимум с июня 2022 года.
Чтобы снизить риск внедрения вредоносного ПО или несанкционированного выполнения кода, в апреле 2025 года Microsoft начала отключать все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows.
Источник: habr.com