Обычная картинка может заразить macOS: в ExifTool нашли опасную уязвимость
18 просмотров
Многие пользователи по-прежнему смотрят на macOS как на систему, которую вредоносному ПО якобы не так-то легко захватить. Но последняя история с ExifTool показывает, что расслабляться не стоит. Исследователи из Kaspersky GReAT обнаружили критическую уязвимость CVE-2026-3102 в популярном инструменте с открытым исходным кодом ExifTool.
Это приложение и библиотека, которые используются для чтения и редактирования метаданных файлов.
Проблема, описанная в Kaspersky GReAT, особенно неприятна тем, что для атаки не требуется какой-либо подозрительный исполняемый файл: достаточно специально подготовленного образа. Сценарий выглядит почти до смешного простым.
Злоумышленник скрывает вредоносную команду в метаданных изображения, а именно в поле DateTimeOriginal, где обычно хранится дата и время съемки. Внешне файл может выглядеть совершенно безобидным: обычная фотография, которая нормально открывается и не вызывает никаких подозрений. Но при определенных условиях этого уже достаточно, чтобы команда выполнилась на устройстве macOS.
Однако есть два важных нюанса. Уязвимость возникает только на macOS и только в тех случаях, когда ExifTool запускается с флагом -n, который отключает обычное преобразование данных и отображает необработанные значения в машиночитаемом виде. Именно в этом режиме инструмент вместо простого чтения даты может выполнить команду, встроенную в метаданные.
С помощью такой команды злоумышленник может связаться с удаленным сервером и создать на устройстве дополнительную нагрузку — например, похитителем информации или трояном. Пользователь в этот момент, скорее всего, вообще ничего не заметит: картинка открывается как положено, а все неприятное происходит в фоновом режиме.
Проблема особенно чувствительна не только для отдельных пользователей, но и для организаций. ExifTool очень популярен в цифровой криминалистике, журналистике, медиапроизводстве, аналитике и везде, где необходимо массово анализировать изображения и их метаданные.
Кроме того, он часто работает не сам по себе, а как встроенный движок в составе других систем — например, в платформах DAM, каталогизаторах и скриптах автоматической обработки корпоративных файлов. Из-за этого заражение может пройти практически незаметно: кто-то загрузил «обычную» картинку, система спокойно обработала метаданные, а вредоносная команда уже была выполнена.
Хорошей новостью является то, что патч уже вышел. По данным GitHub Advisory, версии до 13.49 включительно считаются уязвимыми, а в версии 13.50 проблема закрыта.
