Microsoft dice que Outlook for Web y New Outlook para Windows ya no mostrarán imágenes SVG en línea de riesgos que se están utilizando en los ataques.
Este cambio comenzó a implementarse en todo el mundo a principios de septiembre de 2025 y se espera que se complete para todos los clientes a mediados de octubre de 2025.
Redmond agregó que este cambio afectará a menos del 0.1% de todas las imágenes enviadas usando Outlook, por lo que se espera que el impacto real después del final de la implementación sea mínimo.
«Las imágenes en línea SVG ya no se mostrarán en Outlook para Web o New Outlook para Windows. En cambio, los usuarios verán espacios en blanco donde habrían aparecido estas imágenes», la compañía dicho En una actualización del Centro de mensajes de Microsoft 365 el martes.
«Las imágenes SVG enviadas como archivos adjuntos clásicos continuarán siendo compatibles y visibles desde el pozo de archivo adjunto. Esta actualización ayuda a mitigar los riesgos de seguridad potenciales, como los ataques de secuencias de comandos de sitios cruzados (XSS)».
Actores maliciosos Han utilizado ampliamente Los archivos SVG (gráficos vectoriales escalables) en los últimos años para implementar malware y mostrar formularios de phishing. Las compañías de ciberseguridad también han informado un aumento significativo en los ataques de phishing Usando este formato de documento en particularimpulsado por plataformas Phaas como Tycoon2fa, Mamba2fa y Sneaky2fa.
Por ejemplo, TrustWave reportado en abril que los ataques basados en SVG han girado hacia las campañas de phishing, viendo un asombroso aumento del 1800% entre principios de 2025 y abril de 2024.
La jubilación de imágenes SVG en línea en Microsoft Outlook es parte de un esfuerzo más amplio para eliminar o deshabilitar las características de Office y Windows que se han abusado de ataques dirigidos a clientes de Microsoft.
En junio, Microsoft también anunció que Outlook Web y el nuevo Outlook para Windows Comience a bloquear los tipos de archivos .Library-MS y .Search-MS. Estos archivos Los tipos se usaron previamente en ataques dirigidos a entidades gubernamentales y han sido explotadas en phishing y malware ataques desde al menos junio de 2022. La lista completa de archivos adjuntos de Outlook bloqueados está disponible en Sitio web de documentación de Microsoft.
Desde 2018, Redmond también tiene Soporte ampliado para su interfaz de escaneo de antimalware (AMSI) Para bloquear los ataques con las macros VBA de Office en las aplicaciones de clientes de Office 365, comenzó Bloqueo de macros de oficina de VBA Por defecto, introducido XLM Protección macro, Desactivado Excel 4.0 (XLM) Macrosy comenzó Bloqueo de complementos XLL no confiables de forma predeterminada a través de Microsoft 365 inquilinos.
En abril de 2025, también Desactivado todos los controles ActiveX En las versiones de Windows de las aplicaciones de Microsoft 365 y Office 2024, luego de su anuncio en mayo de 2024 desaprobar VBScript en la segunda mitad de 2024.
Unirse al Cumbre de simulación de violación y ataque y experimentar el Futuro de la validación de seguridad. Escuchar a los mejores expertos y ver cómo Basura está transformando la simulación de violación y ataque.
No se pierda el evento que dará forma al futuro de su estrategia de seguridad.
