SVG приговорён: Microsoft вырезала "дыры" прямо из писем
Microsoft усиливает защиту почты: Outlook больше не будет показывать встроенные SVG-изображения. Эти меры направлены на предотвращение атак, связанных с вредоносными вложениями и фишингом, и станут частью обновлённой стратегии компании по усилению безопасности.
Почему Microsoft отказалась от SVG
С сентября 2025 года Microsoft начала постепенно отключать поддержку встроенных SVG-изображений в веб-версии Outlook и в новом клиенте Outlook для Windows. К середине октября обновление будет доступно всем пользователям. Теперь вместо картинки в письме появится пустое пространство, что исключает возможность скрытого внедрения кода.
"Изображения в формате SVG, отправленные в виде классических вложений, будут по-прежнему поддерживаться и отображаться. Это обновление помогает снизить потенциальные риски для безопасности, такие как межсайтовый скриптинг (XSS)", — заявила Microsoft.
Компания подчёркивает, что изменения затронут менее 0,1% изображений, поэтому подавляющее большинство пользователей не столкнётся с неудобствами.
Почему SVG стали угрозой
SVG-файлы (Scalable Vector Graphics) представляют собой текстовые документы на языке XML, что делает их гибкими и лёгкими. Однако именно эта особенность открывает возможности для злоумышленников: внутри SVG можно спрятать JavaScript-код, который способен выполнять команды, внедрять фишинговые формы или перенаправлять пользователя на вредоносные сайты.
В 2025 году специалисты компании Trustwave зафиксировали стремительный рост атак, использующих SVG. По их данным, число подобных инцидентов увеличилось на 1800% по сравнению с апрелем 2024-го. Такие файлы применялись в целевых фишинговых кампаниях против компаний и государственных структур.
Сравнение форматов: SVG против PNG и JPEG
| Формат | Преимущества | Недостатки |
| SVG | Масштабируемость, малый вес, поддержка анимации | Возможность внедрения кода, высокий риск XSS-атак |
| PNG | Высокое качество, прозрачный фон, безопасность | Большой размер файлов |
| JPEG | Универсальность, оптимизация под фото | Потеря качества при сжатии, нет прозрачности |
Таким образом, отказ от встроенных SVG минимизирует риски, не жертвуя визуальным качеством писем — ведь большинство иллюстраций создаются в безопасных форматах PNG и JPEG.
Как Microsoft усиливает защиту Outlook
Отключение SVG-вставок — не единственная мера. Microsoft последовательно ограничивает использование уязвимых типов файлов.
В июне 2025 года компания заблокировала открытие форматов .library-ms и .search-ms, которые применялись в атаках на госучреждения. Эти файлы позволяли злоумышленникам загружать и выполнять команды на компьютерах пользователей, маскируясь под обычные ссылки.
А ещё раньше, в апреле 2025 года, корпорация начала отключать поддержку ActiveX-элементов в приложениях Microsoft 365 и Office 2024. Эти устаревшие технологии часто становились воротами для вредоносного кода.
Советы: как защитить себя в Outlook
-
Не открывайте подозрительные вложения. Даже если письмо выглядит официальным, проверьте адрес отправителя.
-
Включите двухфакторную аутентификацию. Это усложнит вход в ваш аккаунт злоумышленникам.
-
Используйте антивирус. Современные решения (например, Microsoft Defender) сканируют почту и вложения.
-
Следите за обновлениями. Новые версии Outlook и Windows получают защитные патчи быстрее, чем старые.
-
Не отключайте фильтры безопасности. Они могут блокировать потенциально вредные файлы, даже если те кажутся безвредными.
Ошибка → Последствие → Альтернатива
-
Ошибка: Открытие SVG-вложений из неизвестных источников.
Последствие: Утечка данных или установка вредоносного ПО.
Альтернатива: Использование корпоративных решений для фильтрации почты (например, Microsoft Defender for Office 365). -
Ошибка: Отключение встроенных систем защиты.
Последствие: Рост вероятности заражения.
Альтернатива: Автоматические обновления и антивирусная интеграция в Outlook. -
Ошибка: Игнорирование уведомлений о блокировке файлов.
Последствие: Пропуск сигнала об атаке.
Альтернатива: Проверка журнала безопасности и обучение сотрудников кибергигиене.
А что если нужно использовать SVG?
Если вы работаете с веб-графикой или отправляете SVG-изображения коллегам, используйте их как вложения, а не встроенные элементы. Outlook по-прежнему позволит открыть такие файлы, но уже без возможности автоматического исполнения кода.
Дополнительно можно конвертировать SVG в PNG или PDF перед отправкой — это полностью устранит угрозу.
Плюсы и минусы обновления
| Плюсы | Минусы |
| Повышенная защита пользователей | Потеря поддержки интерактивных SVG-вставок |
| Снижение числа фишинговых атак | Возможное искажение старых писем |
| Простота внедрения обновления | Ограниченные возможности для дизайнеров писем |
Часто задаваемые вопросы (FAQ)
Как узнать, поддерживает ли мой Outlook это обновление?
Проверьте версию Outlook Web или Outlook для Windows. Если вы используете обновления после сентября 2025 года, поддержка встроенных SVG уже отключена.
Можно ли вернуть старое отображение SVG?
Нет. Microsoft полностью отказалась от этой функции в целях безопасности.
Что делать, если изображение не отображается?
Проверьте, не вложен ли файл отдельно. Если да, скачайте его вручную или откройте в браузере.
Безопасно ли открывать SVG-файлы с рабочего стола?
Если они получены из надёжного источника и не были изменены, да. Однако для корпоративных систем рекомендуется предварительная проверка.
Будет ли это касаться мобильных приложений Outlook?
На данный момент обновление распространяется только на веб-версию и новый Outlook для Windows. Мобильные клиенты получат аналогичное обновление позже.
Мифы и правда
-
Миф: SVG-файлы безопасны, потому что это просто картинки.
Правда: внутри них может быть вредоносный скрипт. -
Миф: Microsoft ограничивает функции, чтобы усложнить работу дизайнерам.
Правда: цель — защита пользователей от атак через почтовые вложения. -
Миф: SVG больше не будет открываться нигде.
Правда: только встроенные изображения блокируются, вложения остаются доступны.
3 интересных факта
-
Формат SVG был разработан в конце 1990-х и стал стандартом W3C в 2001 году.
-
Первые атаки с использованием SVG-файлов зафиксированы ещё в 2017-м.
-
Браузеры Chrome и Firefox уже ограничили выполнение скриптов внутри SVG, загружаемых из ненадёжных источников.
Исторический контекст
-
2022 год: фиксируются первые масштабные фишинговые атаки через
.search-ms-файлы. -
2024 год: Microsoft внедряет новые фильтры безопасности в Outlook.
-
Апрель 2025: отключены ActiveX-элементы в Office.
-
Сентябрь 2025: началось отключение встроенных SVG.
-
Октябрь 2025: обновление доступно всем пользователям Outlook.
Подписывайтесь на NewsInfo.Ru
