Уязвимость CVE-2026-3102 при обработке изображений в ExifTool на macOS | Блог Касперского

Полное руководство по устранению опасной уязвимости ExifTool при обработке метаданных изображений на Mac.

Можно ли заразить компьютер вредоносным ПО, просто обрабатывая фотографии? Особенно если это «Мак», который многие до сих пор считают устойчивым к зловредам? Как выясняется, можно — если пользоваться уязвимой версией приложения ExifTool или многочисленных приложений на его основе. Это популярнейшее решение с открытым исходным кодом (open source) для чтения, редактирования и записи метаданных в изображениях используется фотографами и специалистами фотоархивов, применяется в аналитике, криминалистических экспертизах и журналистских расследованиях.

Наши эксперты GReAT обнаружили в нем уязвимость CVE-2026-3102, которая проявляется при обработке вредоносного файла изображения (например, PNG), содержащего в метаданных команды оболочки. При обработке такого файла с помощью ExifTool на macOS команда срабатывает, и на компьютере выполняются действия, задуманные злоумышленником, — например, загрузка и запуск вредоносного ПО с внешнего сервера. Мы расскажем, как это возможно, порекомендуем способы защиты и объясним, как проверить свой компьютер на уязвимость.

Что такое ExifTool

Бесплатное приложение с открытым исходным кодом ExifTool решает узкую, но важную задачу. Оно извлекает из файлов метаданные и позволяет обрабатывать эти данные и сами файлы. Метаданные — это сопроводительная информация, зашитая в большинстве современных форматов файлов. Например, у музыкального трека метаданными будут имя исполнителя и название песни, жанр, год выпуска, фото обложки альбома. Для фотографий метаданные — это дата, время и географические координаты съемки, использованные настройки светочувствительности и затвора, модель и производитель камеры. У офисных документов в метаданных хранятся имя автора, продолжительность редактирования, название и дата создания документа.

ExifTool является признанным лидером по количеству видов поддерживаемых файлов, из которых он умеет извлекать метаданные, а также по глубине, точности и разнообразию возможностей их обработки. Вот некоторые типичные варианты применения:

• исправить дату съемки, если в файлах указана неверная дата;
• перенести метаданные из файла одного формата в файл другого формата (из JPG в PNG, например);
• вытащить миниатюру предварительного просмотра из профессиональных форматов фото (3FR, ARW, CR3);
• извлечь данные о съемке из узкоспециализированных форматов файлов (фото с тепловизоров FLIR, объемные фото LYTRO, медицинские изображения DICOM);
• переименовать файлы согласно реальному времени съемки и установить такие же дату и время создания файла;
• записать в файл координаты съемки, взяв их из отдельно сохраненного трека GPS-навигатора, добавить информацию о названии ближайшего населенного пункта.

Список можно продолжать бесконечно. ExifTool существует как в виде отдельного приложения, так и библиотеки open source, поэтому его код работает «под капотом» многоцелевых и мощных приложений, например систем организации фото Exif Photoworker и MetaScope или «автоматизатора» обработки изображений ImageIngester. В крупных библиотеках, издательствах и компаниях, занимающихся аналитикой изображений, ExifTool зачастую используется в автоматизированном режиме, его вызывают из написанных в организации приложений и скриптов.

Когда срабатывает уязвимость CVE-2026-3102

Чтобы проэксплуатировать уязвимость, атакующий должен подготовить специальный файл с картинкой. Сама картинка может быть любой, но в ее метаданные нужно записать дату и время создания изображения (DateTimeOriginal) в неверном формате. Кроме даты и времени, там должны содержаться вредоносные команды оболочки (shell commands). Из-за специфики обработки в ExifTool, эти команды сработают при выполнении двух условий:

• приложение или библиотека запускаются под macOS;
• включен режим -n (он же —printConv), в котором данные машиночитаемого формата выводятся без дополнительной обработки, как есть. Например, информация о положении камеры при съемке выводится в режиме -n как непонятное число «шесть», а с дополнительной обработкой это будет более читабельное «повернута на 90 градусов по часовой стрелке». Эта «повышенная читабельность» мешает эксплуатации уязвимости.

Редко встречающийся, но совсем не фантастический сценарий целевой атаки будет выглядеть так: в лабораторию криминалистики, в редакцию СМИ или в крупную организацию, обрабатывающую юридическую или медицинскую документацию, поступает цифровой документ, представляющий для нее интерес. Сенсационное фото, юридическая претензия — приманка зависит от рода деятельности жертвы. Все поступающие в компанию файлы проходят сортировку и каталогизацию с помощью системы управления активами (Digital Asset Management). В крупных компаниях это может быть автоматизировано, частные лица и маленькие фирмы запускают нужный софт вручную. В любом из случаев внутри этого ПО должна использоваться библиотека ExifTool. При обработке даты зловредного фото компьютер, где проводится эта обработка, заражается трояном или инфостилером, который в дальнейшем способен похитить все ценные данные, хранящиеся на атакованном устройстве. При этом жертва запросто может ничего не заметить, поскольку атака использует метаданные изображения, а сама картинка может быть безобидной, полностью уместной и полезной.

Как защититься от уязвимости в ExifTool

Исследователи GReAT сообщили об уязвимости автору ExifTool, и он оперативно выпустил версию 13.50, не подверженную CVE-2026-3102. Версии 13.49 и ниже должны быть обновлены для устранения дефекта.

При этом важно убедиться, что все процессы обработки фото используют обновленную версию ExifTool. Нужно проверить, что все платформы управления активами, приложения организации фотографий и любые скрипты по массовой обработке фото, работающие на компьютерах Mac, запускают версию ExifTool не ниже 13.50 и не содержат внутри себя более старую копию библиотеки ExifTool.

Разумеется, в ExifTool, как и в другом ПО, могут содержаться дополнительные уязвимости такого класса, поэтому для усиления защиты также рекомендуем:

• изолировать обработку непроверенных файлов. Обрабатывать изображения из сомнительных источников на отдельной машине или в виртуальной среде, максимально ограничив в ней доступ к другим компьютерам, хранилищам данных и сетевым ресурсам;
• постоянно отслеживать уязвимости в цепочке поставок ПО. Организациям, использующим в своих рабочих процессах компоненты с открытым исходным кодом, рекомендуем воспользоваться для этого Open Source Software Threats Data Feed.

Наконец, если вы работаете с фрилансерами, сторонними подрядчиками или же просто позволяете сотрудникам использовать их собственные устройства для работы, разрешайте им доступ в рабочую сеть, только убедившись в наличии на их «Маках» полноценной защиты.

По-прежнему думаете, что macOS безопасна? Тогда почитайте об угрозах для Mac:

• Banshee: стилер, который охотится за пользователями macOS
• Безопасны ли «Маки»? Угрозы для пользователей macOS
• Инфостилер вошел в чат
• AirBorne: атаки на устройства Apple через уязвимости в AirPlay
• Взлом Android, macOS, iOS и Linux через уязвимость в Bluetooth

03.03.2026

Kaspersky для школ по специальной цене