Microsoft is wegens veiligheidsredenen gestopt met het weergeven van inline SVG-afbeeldingen in Outlook voor Web en de nieuwe Outlook voor Windows. Volgens het techbedrijf moet dit onder andere cross-site scripting (XSS) aanvallen voorkomen. In plaats van de inline SVG-afbeelding zal de e-mailclient nu een lege ruimte weergeven waar normaliter de afbeelding zou worden getoond.

In tegenstelling tot JPEG- of PNG-afbeeldingen zijn Scalable Vector Graphics (SVG) afbeeldingen geschreven in XML en ondersteunen JavaScript en HTML. Aanvallers kunnen hier misbruik van maken door scripts toe te voegen met links naar phishingsites. Het afgelopen jaar waarschuwden verschillende antivirus- en securitybedrijven voor phishingaanvallen waarbij deze functionaliteit werd gebruikt.

"Omdat SVG-afbeeldingen binnen een browser worden weergeven, kunnen ze ook anchor tags bevatten, scripts en andere soorten actieve webcontent. Op deze manier hebben aanvallers het bestandsformaat misbruikt. De SVG-bestanden gebruikt in de aanvallen bevatten soms instructies om eenvoudige vormen weer te geven, zoals rechthoeken, maar bevatten ook een anchor tag die naar een ergens anders gehoste website linkt", aldus antivirusbedrijf Sophos. Wanneer iemand de SVG-afbeelding in de e-mail opent wordt vervolgens door de browser de phishingpagina geladen.

Volgens Microsoft heeft de maatregel nauwelijks impact op gebruikers. Minder dan 0,1 procent van alle afbeeldingen die via Outlook worden weergegeven zijn SVG-afbeeldingen, aldus het techbedrijf. Daarnaast zullen SVG-beeldingen die als normale bijlage worden meegestuurd nog wel worden ondersteund en weergegeven.