ExifTool sérülékenység
A Kaspersky a CVE-2026-3102 parancs-injekciós sebezhetőséget ismerteti az ExifTool nyílt forráskódú metadata-feldolgozó eszközben, amely a macOS rendszereken jelent komoly kockázatot. ExifTool-t széles körben használnak képek, videók és PDF-ek metaadatainak olvasására és módosítására így a hibának széles kitettsége van.
A macOS-specifikus SetMacOSTags függvény az ExifTool PNG-fájlfeldolgozójában nem megfelelően semlegesíti a DateTimeOriginal metaadat mező tartalmát. A támadó olyan képfájlt készíthet, amelyben a metaadatokba rejtett tetszőleges shell parancsok vannak, és ha egy sérülékeny ExifTool-verzió futtatja ezt a fájlt, akkor a beágyazott parancsok a rendszerben hajtódnak végre, akár kártékony kód letöltésével, további malware telepítésével vagy érzékeny adatok megszerzésével.
A hiba minden ExifTool 13.49-es vagy korábbi verzióját érinti macOS-en, és exploitálható például automatikus képfeldolgozó pipeline-ok, digitális asset-kezelők vagy szerkesztői munkafolyamatok esetén, ahol külső forrásból érkező képek kerülnek feldolgozásra.
A gyártó javított kiadást tett közzé, az ExifTool 13.50, amely már nem tartalmazza ezt a hibát. A legfontosabb védekezési lépések a frissítés azonnali telepítése minden macOS-rendszeren, ahol ExifTool-t használnak, valamint a beágyazott vagy automatizált rendszer- és szoftverfüggőségek auditálása annak biztosítására, hogy ne legyenek sebezhető példányok.
Ezen túlmenően érdemes megtagadni a -n (–printConv) kapcsoló használatát, amely a sérülékenységet lehetővé teszi, elkülöníteni és elszigetelni megbízhatatlan képfájlok feldolgozását külön gépeken vagy virtuális környezetben, valamint folyamatosan nyomon követni az open-source komponensek sebezhetőségeit egy beszállítói lánc-monitorozó rendszerrel.
