仍然相信Mac系統沒有病毒?近日一個安全漏洞CVE-2026-3102令用戶在該操作系統處理一張惡意圖片,便會執行內嵌在metadata內的shell指令,讓攻擊者能在系統上進行未經授權的行為,包括下載和執行惡意內容。
甚麼是ExifTool?
ExifTool是免費的開源應用程式,用以滿足一小眾人士的重要需求,能夠從檔案中提取metadata,並處理這些數據和文件本身,Metadata是內嵌在大部份現代檔案格式中的資訊,用來描述或補充文件的主要內容,例如樂曲的metadata包括歌手名稱、歌名、類別、發行年份、專輯封面等等,照片的metadata則包含拍攝日期和時間、GPS座標、ISO和快門速度設定,以及相機品牌和型號。辦公室文件也會儲存metadata,例如作者名稱、總編輯時間和原始建立日期。
ExifTool由於支援檔案格式數量、處理能力和深度、準確性和多種處理能力,在行業處於領先地位,常見的使用個案包括:
- 調整來源檔案中記錄的日期錯誤
- 在不同格式之間轉移metadata(例如JPG到PNG)
- 從專業RAW格式(例如3FR、ARW或CR3)擷取預覽縮圖
- 從特殊格式中檢索數據,包括FLIR熱成像、LYTRO光場照片和DICOM醫療影像。
- 根據真實拍攝時間重新命名圖片或影片檔案,相應同步文件建立時間和日期。
- 把GPS座標與單獨儲存的GPS軌跡記錄同步,或加入最接近人口稠密區域的名稱,並內嵌GPS座標到檔案內。
ExifTool既是獨立的命令列應用程式,也可用作開源library使用,這意味著它的程式碼經常在功能強大的多功能工具下運行,例如照片整理系統Exif Photoworker和MetaScope,影像處理自動化工具ImageIngester,在大型的數碼圖書館、出版社和圖像分析公司中ExifTool經常在自動模式中使用,由企業內部應用程式和自訂腳本觸發。
安全漏洞CVE-2026-3102
要利用這個安全漏洞,攻擊者必需以某種方式建構圖像檔案,圖像本身可以是任何東西,安全漏洞在metadata上,特別是DateTimeOriginal欄,該欄必需以無效格式記錄,此外,在日期和時間欄必需含有惡意shell指令,由於ExifTool在macOS上處理資料的特殊方法,這些指令在滿足兩個條件才會被執行:
- 應用程式或library在macOS上執行
- 啟用-n(或-printConv)標誌,這模式輸出機器可讀數據而不進行任何額外處理,例如在-n模式,相機方向資料會奇怪地輸出為「six」,如果經過額外處理,則變成人類能理解的「Rotated 90 CW」,這人類可讀性可防止漏洞被利用。
針對特定目標的攻擊可能很罕見但並非天方夜譚,例如法醫實驗室、傳媒編輯部或處理法律或醫療文件的大型組織,收到一份對該目標感興趣的數碼文件,所有進入公司的文件都會透過資產管理系統(DAM)進行分類和編目,這程序在大公司可能自動化進行,個人或小型公司則需要手動操作,無論哪種軟件底下都會使用ExifTool library,在處理惡意照片的日期時,處理的電腦會感染木馬或資料盜竊程式,能在被攻擊裝置上盜竊資料,而且受害者可能完全不察覺異常,因為圖像本身無害,攻擊利用的是圖像的metadata。
防範ExifTool安全漏洞
在向ExifTool作者通報安全漏洞後,已經推出13.50版本不受CVE-2026-3102影響,13.49或以前的版本需要更新才能夠修復漏洞,在所有Mac機器上檢查所有管理平台、圖片管理應用程式和圖片處理腳本都使用ExifTool 13.50或以後的版本,並且不包含內嵌舊版ExifTool library。ExifTool像其他軟件一樣,可能存在其他此類安全漏洞,為了加強防禦,我們建議:
- 隔離不受信任文件的處理,使用專用機器或虛擬環境處理可疑來源的圖像,嚴格限制對其他電腦、資料儲存和網絡資源的存取。
- 持續追蹤軟件供應鏈的安全漏洞,工作流程中倚賴開源元件的組織,可以使用Open Source Software Threats Data Feed進行追蹤。
如果與自由工作者或承包商合作(或容許BYOD),限制只准安裝了全面macOS保安方案的裝置存取你的網絡。
資料來源:Kaspersky Blog
