Ένα σοβαρό ελάττωμα ασφαλείας εντοπίστηκε στο ExifTool, ένα δημοφιλές εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για την ανάγνωση και την επεξεργασία μεταδεδομένων αρχείων εικόνας.
Παρακολούθηση ως CVE-2026-3102, αυτή η ευπάθεια επηρεάζει τα συστήματα macOS και επιτρέπει στους εισβολείς να κρύβουν εντολές φλοιού μέσα σε αρχεία εικόνας που εκτελούνται σιωπηλά όταν υποβάλλονται σε επεξεργασία.
Η ανακάλυψη έχει εγείρει συναγερμούς σε βιομηχανίες που βασίζονται σε αυτοματοποιημένες ροές εργασίας εικόνας, από εγκληματολογικά εργαστήρια έως μεγάλους οργανισμούς μέσων ενημέρωσης.
Το ExifTool έχει κερδίσει μια ισχυρή φήμη ως η βασική λύση για το χειρισμό μεταδεδομένων σε εκατοντάδες μορφές αρχείων.
Φωτογράφοι, ψηφιακοί αρχειοθέτες, ιατροδικαστικοί ερευνητές και αναλυτές δεδομένων το χρησιμοποιούν όλοι για να εξάγουν λεπτομέρειες όπως συντεταγμένες GPS, ρυθμίσεις κάμερας και χρονικές σημάνσεις που είναι ενσωματωμένες σε αρχεία εικόνας.
Πέρα από την ατομική χρήση, η βιβλιοθήκη ανοιχτού κώδικα είναι βαθιά ενσωματωμένη σε εργαλεία τρίτων, όπως πλατφόρμες διαχείρισης φωτογραφιών και λογισμικό αυτοματισμού εικόνας, συμπεριλαμβανομένων των Exif Photoworker, MetaScope και ImageIngester.
Σε μεγάλες επιχειρήσεις, το ExifTool εκτελείται συχνά αθόρυβα μέσω συστημάτων διαχείρισης ψηφιακών περιουσιακών στοιχείων, γεγονός που καθιστά την επίθεση πολύ ευρύτερη.
Οι ερευνητές της Kaspersky εντόπισαν αυτήν την ευπάθεια και το ανέφερε απευθείας στον προγραμματιστή του ExifTool, Phil Harvey, ο οποίος κυκλοφόρησε μια ενημέρωση κώδικα στην έκδοση 13.50 λίγο μετά την ειδοποίηση.
Η ομάδα σημείωσε ότι αυτός ο τύπος διανύσματος επίθεσης που βασίζεται σε μεταδεδομένα συχνά παραλείπεται από τη συμβατική σάρωση ασφαλείας, καθώς τα περισσότερα εργαλεία επικεντρώνονται στο περιεχόμενο αρχείων αντί στα ενσωματωμένα πεδία μεταδεδομένων. Τα ευρήματά τους αποκαλύπτουν πώς ένα ευρέως αξιόπιστο καθημερινό εργαλείο μπορεί να γίνει αθόρυβα μια πύλη για εισβολείς που στοχεύουν περιβάλλοντα macOS.
Όταν γίνεται επιτυχής εκμετάλλευση, αυτή η ευπάθεια παρέχει στους εισβολείς μη εξουσιοδοτημένη πρόσβαση στο επηρεαζόμενο σύστημα macOS. Από εκεί, μπορούν να κατεβάσουν και να εκτελέσουν ένα απομακρυσμένο ωφέλιμο φορτίο, να αναπτύξουν Trojans ή να αφήσουν infostealers που έχουν σχεδιαστεί για τη συλλογή ευαίσθητων δεδομένων που είναι αποθηκευμένα στη συσκευή.
Αυτό που κάνει την επίθεση ιδιαίτερα ανησυχητική είναι η σχεδόν αόρατη εικόνα της — η κακόβουλη εικόνα μπορεί να φαίνεται απολύτως φυσιολογική και ακόμη και να εξυπηρετεί έναν νόμιμο σκοπό, ενώ οι επιβλαβείς εντολές του κελύφους δεν φαίνονται εντελώς.
Η απειλή είναι ιδιαίτερα σοβαρή για οργανισμούς όπου οι εικόνες ρέουν καθημερινά μέσω αυτοματοποιημένων αγωγών — συμπεριλαμβανομένων εργαστηρίων εγκληματολογίας, αιθουσών δημοσιογραφίας, νομικών γραφείων και ιατρικών κέντρων απεικόνισης.
Σε αυτά τα περιβάλλοντα, τα αρχεία φτάνουν τακτικά από εξωτερικές πηγές και μια μεμονωμένη δημιουργημένη εικόνα που παραδίδεται μέσω ενός καναλιού υποβολής ρουτίνας θα μπορούσε σιωπηλά να θέσει σε κίνδυνο την υποδομή υποστήριξης ενός ολόκληρου οργανισμού.
Η ρίζα αυτού του exploit βρίσκεται στον τρόπο με τον οποίο το ExifTool στο macOS χειρίζεται το DateTimeOriginal πεδίο — μια τυπική ετικέτα EXIF που συνήθως αποθηκεύεται όταν τραβήχτηκε μια φωτογραφία.
Οι εισβολείς χειρίζονται αυτό το πεδίο καταγράφοντας το σε μη έγκυρη μορφή και ενσωματώνοντας κακόβουλες εντολές φλοιού μέσα σε αυτό. Όταν το ExifTool επεξεργάζεται ένα τέτοιο αρχείο στο -n λειτουργία, επίσης γνωστή ως το --printConv σημαία, εξάγει δεδομένα σε ακατέργαστη, μη επεξεργασμένη μορφή.
Αυτή η ακατέργαστη έξοδος παρακάμπτει το βήμα μορφοποίησης που διαφορετικά θα εξουδετέρωνε τις κρυφές εντολές, προκαλώντας την ερμηνεία και την εκτέλεσή τους απευθείας από το κέλυφος του macOS.
Λεπτομέρειες CVE: –
| Πεδίο | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2026-3102 |
| Αυστηρότητα | Κρίσιμος |
| Βαθμολογία CVSS | Κρίσιμη (Η ακριβής βαθμολογία εκκρεμεί δημόσια αποκάλυψη) |
| CWE | CWE-78 — Ακατάλληλη εξουδετέρωση ειδικών στοιχείων στην εντολή του λειτουργικού συστήματος |
| Επηρεασμένο στοιχείο | ExifTool (εκδόσεις 13.49 και παλαιότερες) |
| Πλατφόρμα που επηρεάζεται | macOS |
| Ευάλωτο Πεδίο | DateTimeOriginal Πεδίο μεταδεδομένων EXIF |
| Συνθήκη Εκμετάλλευσης | -n / --printConv σημαία ενεργοποιημένη κατά την επεξεργασία εικόνας |
| Σύγκρουση | Απομακρυσμένη εκτέλεση κώδικα, ανάπτυξη Trojan/infostealer, κλοπή δεδομένων |
| Ενημερωμένη έκδοση | ExifTool 13.50 |
| Ανακαλύφθηκε από | Kaspersky GReAT (Παγκόσμια Ομάδα Έρευνας και Ανάλυσης) |
| Ημερομηνία αποκάλυψης | 2 Μαρτίου 2026 |
| Διαθέσιμη επιδιόρθωση | Ναι — Άμεση ενημέρωση στο ExifTool 13.50 |
Ο -n Το flag χρησιμοποιείται ευρέως σε αγωγούς αυτοματοποιημένης επεξεργασίας εικόνας, επειδή παράγει καθαρά, συνοπτικά, αναγνώσιμα από μηχανήματα έξοδο — ακριβώς το είδος στο οποίο βασίζονται οι εταιρικές ροές εργασίας.
Αυτό το καθιστά μια φυσική προεπιλογή σε λειτουργίες μεγάλης κλίμακας, πράγμα που σημαίνει επίσης τις δύο προϋποθέσεις που απαιτούνται για την ενεργοποίηση του exploit — εκτέλεση σε macOS με -n ενεργοποιημένο — συναντώνται συνήθως μαζί.
Χωρίς αυτήν τη σημαία, το ExifTool αποδίδει την έξοδο μεταδεδομένων σε μορφή αναγνώσιμη από τον άνθρωπο, η οποία διακόπτει ακούσια την εκμετάλλευση. Αλλά δεδομένου ότι τα συστήματα που αντιμετωπίζουν το μηχάνημα χρησιμοποιούν σπάνια αυτή τη μορφή εμφάνισης, το ελάττωμα παραμένει πλήρως λειτουργικό στις περισσότερες υλοποιήσεις του πραγματικού κόσμου.
Ο συντάκτης του ExifTool έχει κυκλοφορήσει την έκδοση 13.50 για τη διεύθυνση CVE-2026-3102 και όλοι οι χρήστες που εκτελούν την έκδοση 13.49 ή παλαιότερη πρέπει να ενημερώσουν αμέσως.
Οι οργανισμοί θα πρέπει να ελέγχουν όλες τις πλατφόρμες διαχείρισης περιουσιακών στοιχείων, τις εφαρμογές επεξεργασίας φωτογραφιών και τα προσαρμοσμένα σενάρια στο macOS για να επιβεβαιώσουν ότι καλούν το ExifTool 13.50 ή μεταγενέστερη έκδοση και ότι δεν εκτελούν ένα ενσωματωμένο παλαιότερο αντίγραφο της βιβλιοθήκης.
Για πρόσθετη προστασία, οι εικόνες από μη αξιόπιστες ή άγνωστες πηγές θα πρέπει να υποβάλλονται σε επεξεργασία σε απομονωμένα εικονικά περιβάλλοντα με περιορισμένη πρόσβαση στο δίκτυο.
Συνιστάται επίσης να παρακολουθείτε συνεχώς τα στοιχεία ανοιχτού κώδικα που χρησιμοποιούνται σε εσωτερικές ροές εργασίας για νέα τρωτά σημεία που αποκαλύφθηκαν μέσω αποκλειστικών εργαλείων παρακολούθησης της αλυσίδας εφοδιασμού.
