Распространённое мнение о том, что операционные системы Apple macOS обладают врождённой устойчивостью к вредоносному программному обеспечению, вновь оказалось под сомнением. Специалисты GReAT (Global Research and Analysis Team) «Лаборатории Касперского» обнаружили критическую уязвимость в популярнейшем инструменте для работы с метаданными файлов - ExifTool. Обнаруженная проблема, получившая идентификатор CVE-2026-3102, позволяет злоумышленникам выполнить произвольный код на компьютерах под управлением macOS, используя для этого обычные с виду изображения. Это открытие напоминает о том, что безопасность любой экосистемы зависит не только от её ядра, но и от стороннего программного обеспечения, которое может стать слабым звеном.
Уязвимость CVE-2026-3102
Суть уязвимости заключается в ошибке обработки метаданных. ExifTool представляет собой открытое приложение и библиотеку, которые используются для чтения, записи и редактирования метаинформации в файлах сотен различных форматов. Уязвимость активируется при обработке специально сконструированного изображения, внутри метаданных которого скрыта команда оболочки. В частности, атака нацелена на поле "DateTimeOriginal", которое обычно хранит дату и время съёмки фотографии. При определённых условиях, вместо того чтобы просто прочитать это значение, инструмент может интерпретировать его содержимое как инструкцию для выполнения.
Механизм эксплуатации данной уязвимости обладает специфическими особенностями, которые одновременно и ограничивают, и делают её особенно коварной. Во-первых, атака работает исключительно в среде macOS. Во-вторых, для её успешного проведения ExifTool должен быть запущен с флагом "-n" (или его длинным аналогом "-printConv"). Этот флаг отключает стандартное преобразование данных, заставляя утилиту выводить «сырые», машинно-читаемые значения вместо удобочитаемого текста. Именно в этом режиме происходит ошибочная интерпретация вредоносной команды, вставленной в поле даты. В результате, ничего не подозревающий пользователь или автоматизированная система, открывая или обрабатывая совершенно нормальное изображение, могут инициировать выполнение скрытого кода. Этот код, в свою очередь, часто выступает как первая ступень атаки, например, для связи с командным сервером злоумышленника и загрузки более опасной полезной нагрузки, такой как троянские программы или похитители информации.
Потенциальное воздействие этой уязвимости на реальный бизнес и организации трудно переоценить. ExifTool является де-факто стандартом в таких областях, как цифровая криминалистика, журналистские расследования и работа с большими данными. Кроме того, эта библиотека часто служит «движком» для множества коммерческих и корпоративных решений: систем управления цифровыми активами (DAM), фотоархивов, веб-приложений для загрузки контента и автоматизированных скриптов для обработки медиафайлов. Широкая интеграция инструмента создаёт значительные операционные риски. Представьте себе целевую атаку на новостное агентство, юридическую фирму или медицинское учреждение. Злоумышленник может отправить сотруднику организации специально подготовленное изображение, маскирующееся под эксклюзивное фото для публикации, сканированный юридический документ или результат диагностики. Когда внутренняя система организации автоматически обработает этот файл для каталогизации или извлечения метаданных, произойдёт скрытое выполнение кода. Поскольку библиотека работает в фоновом режиме в составе более крупных приложений, сам факт взлома может долго оставаться незамеченным, предоставляя атакующему ценное время для развития компрометации.
Таким образом, обнаруженная уязвимость CVE-2026-3102 служит важным напоминанием о необходимости комплексного подхода к безопасности. Для защиты от этой угрозы администраторам и пользователям macOS рекомендуется предпринять ряд шагов. В первую очередь, необходимо выяснить, используются ли в автоматизированных рабочих процессах компании инструменты или приложения, зависящие от библиотеки ExifTool. Это может потребовать аудита скриптов, серверных задач обработки и корпоративного программного обеспечения для работы с медиа. Далее, критически важно как можно скорее обновить библиотеку ExifTool до исправленной версии, в которой данная проблема устранена. Параллельно с этим стоит пересмотреть и усилить мониторинг систем, занимающихся обработкой файлов из непроверенных источников. Реализация принципа наименьших привилегий для сервисов, работающих с ExifTool, и сегментация сетевого периметра могут помочь ограничить потенциальный ущерб в случае успешной эксплуатации уязвимости. В конечном счёте, этот инцидент подчёркивает, что даже самое надёжное, с точки зрения общественного мнения, программное обеспечение не является неуязвимым, а безопасность - это непрерывный процесс, а не разовое состояние.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3102
- https://www.kaspersky.com/blog/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102/55362/
- https://github.com/exiftool/exiftool/commit/e9609a9bcc0d32bd252a709a562fb822d6dd86f7
- https://github.com/exiftool/exiftool/releases/tag/13.50
