Microsoft ประกาศยกเลิกการแสดงภาพ SVG แบบ inline บน Outlook for Web และ new Outlook for Windows เริ่มตั้งแต่ต้นเดือนกันยายน 2025 ตามประกาศใน Message Center (MC1130385) เมื่อต้นเดือนสิงหาคมที่ผ่านมา การเปลี่ยนแปลงครั้งนี้มีเป้าหมายเพื่อปิดช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์ใช้ประโยชน์ในการโจมตีฟิชชิ่ง และสอดคล้องกับมาตรฐานของโปรแกรมอีเมลอื่นๆ ที่มีการจำกัดการแสดง SVG ในข้อความมาก่อนหน้านี้แล้ว
ไฟล์ SVG (Scalable Vector Graphics) เป็นรูปแบบภาพเวกเตอร์ที่ถูกสร้างด้วยภาษา XML ซึ่งแตกต่างจากไฟล์ภาพทั่วไปอย่าง JPEG หรือ PNG ที่เก็บข้อมูลเป็นพิกเซล ความพิเศษของ SVG คือสามารถฝัง HTML และ JavaScript code ได้ภายในไฟล์ ซึ่งกลายเป็นจุดอ่อนที่อาชญากรไซเบอร์ใช้ประโยชน์ เมื่อเหยื่อเปิดไฟล์ SVG ที่แนบมากับอีเมล โค้ดที่ซ่อนอยู่จะทำงานและนำผู้ใช้ไปยังหน้าเว็บปลอมเพื่อขโมยข้อมูลเข้าสู่ระบบ โดยเฉพาะบัญชี Office 365
จากข้อมูลของบริษัทรักษาความปลอดภัย KnowBe4 พบว่าในไตรมาสแรกของปี 2025 ไฟล์ SVG ที่มีมัลแวร์คิดเป็น 6.6% ของไฟล์แนบทั้งหมดในอีเมลฟิชชิ่ง เพิ่มขึ้น 245% เมื่อเทียบกับไตรมาสก่อนหน้า หลายบริษัทด้านความปลอดภัยไซเบอร์รวมถึง Cloudflare, VMRay และ Sophos ต่างรายงานถึงการเพิ่มขึ้นอย่างรวดเร็วของการโจมตีประเภทนี้ตลอดช่วงครึ่งปีที่ผ่านมา การโจมตีผ่าน SVG มีประสิทธิภาพสูงเพราะสามารถหลบเลี่ยงระบบกรองอีเมลที่ตรวจสอบเฉพาะไฟล์แนบประเภทอื่นๆ
การอัปเดตครั้งนี้จะทำให้ภาพ SVG ที่ฝังมากับอีเมล (เช่น ที่โฮสต์บนเซิร์ฟเวอร์ภายนอก) จะไม่แสดงผลใน Outlook แต่จะปรากฏเป็นช่องว่างแทน Microsoft ระบุว่าผลกระทบต่อการใช้งานจริงมีน้อยมาก โดยภาพที่ได้รับผลกระทบคิดเป็นต่ำกว่า 0.1% ของภาพทั้งหมดที่ส่งผ่านอีเมล การเปลี่ยนแปลงนี้จะช่วยลดช่องโหว่ด้าน Cross-Site Scripting (XSS) ที่สามารถถูกใช้ประโยชน์ผ่าน SVG content ได้
องค์กรที่ใช้งาน Outlook แนะนำให้อัปเดตเอกสารคู่มือการใช้งานและแจ้งให้ผู้ใช้งานทราบถึงการเปลี่ยนแปลงนี้ อย่างไรก็ตาม ผู้ใช้ไม่จำเป็นต้องดำเนินการใดๆ เองเนื่องจากการอัปเดตจะเกิดขึ้นอัตโนมัติในระบบ การตัดสินใจของ Microsoft สะท้อนให้เห็นถึงการปรับเปลี่ยนกลยุทธ์ของแฮกเกอร์ที่หันมาใช้วิธีการโจมตีผ่านไฟล์ภาพแทนลิงก์หรือเอกสารที่มี macro ซึ่งถูกตรวจจับได้ง่ายกว่า[1][2][3][4]