Microsoft gestopt met weergeven van inline SVG-afbeeldingen in Outlook

In dit artikel:

Microsoft toont sinds kort geen inline SVG‑afbeeldingen meer in Outlook voor Web en in de nieuwe Outlook voor Windows om veiligheidsrisico’s te beperken. In plaats van de afbeelding verschijnt nu een lege ruimte. Reden is dat SVG‑bestanden XML‑gebaseerd zijn en, in tegenstelling tot statische JPEG/PNG‑afbeeldingen, HTML en JavaScript kunnen bevatten; dat maakt ze geschikt voor misbruik bij cross‑site scripting (XSS) en gerichte phishing. Beveiligingsbedrijven merkten het afgelopen jaar op dat aanvallers SVG’s gebruikten om verborgen links of scripts in e-mails te verbergen, waarna een browser automatisch een phishingpagina laadt. Microsoft zegt dat de verandering weinig gebruikers treft: minder dan 0,1% van de weergegeven afbeeldingen in Outlook zijn SVG’s. SVG‑bestanden die als losse bijlage worden meegestuurd blijven wél toegankelijk. Securityleveranciers zoals Sophos bevestigen dat het formaat door kwaadwillenden is misbruikt.