Microsoft Outlook přestává zobrazovat inline SVG obrázky kvůli rostoucí zneužívání formátu v kyberútocích

Microsoft oznámil změnu, která zlepší bezpečnost uživatelů Outlooku. Od září 2025 začal postupně nasazovat aktualizaci, která blokuje zobrazování inline SVG obrázků v aplikacích Outlook pro web a v nové verzi Outlooku pro Windows. Do poloviny října má být změna aktivní pro všechny uživatele.

Formát SVG (Scalable Vector Graphics) je standardizovaný způsob zobrazení vektorové grafiky, který využívá jazyk XML. Jeho otevřenost a flexibilita však přináší i rizika – SVG může obsahovat skripty, které útočníci zneužívají k phishingu, distribuci malwaru či ke spuštění škodlivého kódu (např. formou XSS – Cross-Site Scriptingu).

V posledních měsících bezpečnostní společnosti zaznamenaly dramatický nárůst útoků založených právě na SVG souborech. Podle dat společnosti Trustwave vzrostl počet phishingových kampaní využívajících SVG mezi začátkem roku 2024 a dubnem 2025 o více než 1800 %. Tento trend souvisí i s rozvojem Phishing-as-a-Service (PhaaS) platforem, jako jsou Tycoon2FA, Mamba2FA či Sneaky2FA, které tento formát aktivně využívají.

Od října 2025 Outlook pro web a nová verze Outlooku pro Windows přestanou zobrazovat inline SVG obrázky přímo v těle e-mailu. Namísto obrázku se zobrazí prázdné místo. SVG soubory zaslané jako klasická příloha však budou i nadále podporovány – uživatelé si je budou moci otevřít z oblasti příloh, která podléhá jinému bezpečnostnímu modelu.

Podle Microsoftu se tato změna dotkne méně než 0,1 % všech obrázků odeslaných prostřednictvím Outlooku, a tedy nebude mít zásadní dopad na běžnou komunikaci.

Tento krok je součástí dlouhodobé strategie Microsoftu minimalizovat rizika zneužívání funkcí Office a Windows. Za posledních několik let společnost postupně zablokovala makra VBA u nedůvěryhodných dokumentů, zavedla ochranu XLM maker a zakázala neověřené XLL doplňky, rozšířila rozhraní AMSI (Antimalware Scan Interface) pro kontrolu škodlivého kódu a v roce 2025 definitivně vypnula ActiveX v Microsoft 365 i Office 2024.

Od června 2025 Outlook také blokuje soubory typu .library-ms a .search-ms, které byly v minulosti zneužívány v útocích na státní instituce.

Organizace by měly ověřit, zda interní nebo marketingová komunikace nevyužívá inline SVG obrázky, například v šablonách e-mailů či newsletterů. Pokud ano, doporučuje se přejít na jiné bezpečné formáty (např. webp, jpeg). Blokování inline SVG v Outlooku je dalším krokem v dlouhodobém trendu „secure by default“. I když dopad na běžného uživatele bude minimální, z hlediska kybernetické bezpečnosti jde o důležité preventivní opatření, které snižuje riziko úspěšných phishingových a malwarových útoků.

Zdroj: bitdefender.com

Zdroj ilustračního obrázku: appshunter.io on Unsplash