CVE-2026-3102として追跡されるExifToolの重大なコマンドインジェクション脆弱性により、攻撃者は単にユーザーを騙して悪意のあるように細工された画像ファイルを処理させることで、macOSシステムで任意のシェルコマンドを実行できる可能性があります。
ExifToolは、画像、PDF、オーディオ、ビデオファイルのメタデータを読み取り、書き込むための広く採用されているユーティリティです。
スタンドアロンのコマンドラインツールと組み込み可能なライブラリの両方として利用可能であり、ニュースルーム、クリエイティブエージェンシー、およびmacOSベースのメディアワークフロー全体で攻撃面が広くなっています。
この脆弱性は、ユーザー入力をevalシンクに渡す前に弱いregexベースのサニタイゼーションを悪用した前のCVE-2021-22204に類似しています。
攻撃者は、通常は写真がいつ撮影されたかを記録する画像のDateTimeOriginalメタデータフィールドに悪意のあるシェルコマンドを埋め込みます。
攻撃が機能するには2つの条件があります:対象はmacOSを実行している必要があり、ExifToolは-nフラグが有効な状態でファイルを処理する必要があります。
実行されると、攻撃者はSecurelistによると、攻撃者が管理するサーバーから二次ペイロード、情報盗聴ツール、トロイの木馬、またはリモートアクセスツールをダウンロードし、侵害されたマシン上に静かに配置できます。
ExifToolのメンテナであるPhil Harveyは、Kasperskyの開示後すぐにバージョン13.50をリリースしました。この修正により、脆弱な文字列連結system()呼び出しがリスト形式の呼び出しに置き換わり、手動のシェルエスケープの必要性が完全に排除されます:
このアーキテクチャの変更により、APIレベルでシェル解釈リスクが排除され、ローカライズされたパッチではなく、堅牢でコードベース全体の緩和策が提供されます。概念実証エクスプロイトコードはすでに公開されており、保護されていないシステムへのパッチ適用の緊急性を強調しています。
CVE-2026-3102は、コア的な安全なコーディングの原則を強化しています:脆弱な文字列連結をリストベースのAPI呼び出しに置き換えることは、進化するコードベースにおけるコマンドインジェクションに対する最も信頼できる防御です。
翻訳元: https://cyberpress.org/exiftool-flaw-compromise-mac/