Microsoft mengumumkan bahwa Outlook untuk Web dan Outlook versi baru di Windows tidak lagi menampilkan gambar inline SVG (Scalable Vector Graphics), menyusul meningkatnya penyalahgunaan format tersebut dalam serangan siber.
Perubahan ini mulai diluncurkan secara global sejak awal September 2025 dan diperkirakan selesai pertengahan Oktober 2025. Microsoft menegaskan bahwa langkah ini hanya memengaruhi kurang dari 0,1% dari seluruh gambar yang dikirim melalui Outlook, sehingga dampak terhadap pengguna diyakini minimal.
“Gambar inline SVG tidak lagi ditampilkan di Outlook Web maupun Outlook baru untuk Windows. Sebagai gantinya, pengguna hanya akan melihat ruang kosong di area tempat gambar tersebut seharusnya muncul,” tulis Microsoft dalam pembaruan Message Center Microsoft 365.
SVG sebagai Vektor Serangan
Meskipun file SVG sebagai lampiran biasa masih bisa dibuka dan dilihat, pemblokiran khusus untuk inline SVG dilakukan guna mengurangi risiko keamanan, termasuk potensi serangan cross-site scripting (XSS).
Selama beberapa tahun terakhir, pelaku ancaman telah banyak mengeksploitasi file SVG untuk menyebarkan malware maupun menampilkan formulir phishing. Laporan dari berbagai perusahaan keamanan juga mencatat lonjakan signifikan dalam kampanye phishing berbasis SVG, terutama dengan adanya layanan Phishing-as-a-Service (PhaaS) seperti Tycoon2FA, Mamba2FA, dan Sneaky2FA.
Sebagai contoh, pada April lalu Trustwave melaporkan peningkatan serangan phishing berbasis SVG hingga 1800% dibandingkan periode awal 2024.
Bagian dari Strategi Keamanan Lebih Luas
Kebijakan baru ini merupakan bagian dari upaya berkelanjutan Microsoft untuk menghapus atau menonaktifkan fitur Office dan Windows yang kerap disalahgunakan.
Beberapa langkah sebelumnya yang telah dilakukan antara lain:
- Juni 2025: Outlook Web dan Outlook baru untuk Windows mulai memblokir file dengan ekstensi .library-ms dan .search-ms, yang pernah dipakai dalam serangan terhadap instansi pemerintah sejak 2022.
- 2018 – 2024: Microsoft memperluas dukungan Antimalware Scan Interface (AMSI), memblokir VBA Office macros, memperkenalkan proteksi XLM macros, menonaktifkan Excel 4.0 macros, serta memblokir add-in XLL yang tidak terpercaya secara default.
- April 2025: Seluruh ActiveX controls dinonaktifkan pada aplikasi Microsoft 365 dan Office 2024 untuk Windows, menyusul keputusan pada Mei 2024 untuk menghapus dukungan VBScript.
Langkah terbaru terkait pemblokiran inline SVG ini mempertegas komitmen Microsoft dalam menekan potensi serangan phishing dan malware yang menargetkan pengguna Outlook serta ekosistem Microsoft 365.
Sumber: BleepingComputer