آسیبپذیری ExifTool: وقتی یه عکس مک شما رو هک میکنه
اپلCVE-2026-3102 یه آسیبپذیری در ExifTool نسخه ۱۳.۴۹ و قدیمیتره که سیستمهای macOS رو تحت تأثیر قرار میده. مهاجم میتونه با جاسازی یه payload مخرب در فیلد تاریخ متادیتای تصویر، از طریق تابع system() دستورات دلخواه اجرا کنه. اکسپلویت نیازمند استفاده از فلگ -n هست و از یه مسیر کپی متادیتا سوءاستفاده میکنه. نسخه ۱۳.۵۰ این مشکل رو با تغییر روش فراخوانی سیستم از رشته به لیست آرگومان برطرف کرده.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
ExifTool یه ابزار پرکاربرد برای خواندن و نوشتن متادیتای فایلهای تصویری، PDF، صوتی و ویدیوییه که هم بهصورت ابزار خط فرمان و هم بهعنوان کتابخانه قابل استفادهست. تیم GReAT کسپرسکی در فوریه ۲۰۲۶ آسیبپذیری CVE-2026-3102 رو در این ابزار کشف کرد؛ ضعفی که نسخههای ۱۳.۴۹ و قدیمیتر روی macOS رو تحت تأثیر قرار میده و در همون ماه پچ شد.
ریشه این باگ به یه مفهوم امنیتی به اسم taint analysis (تحلیل داده آلوده) برمیگرده. ایده اینه که دادهای که از منبع خارجی میاد — مثل متادیتای یه تصویر — بدون پاکسازی نباید به نقاط خطرناک برنامه (sink) برسه. در ExifTool این نقاط خطرناک توابع eval و system هستن. در این آسیبپذیری، متغیر $val که مقدار تاریخ رو نگه میداره، بدون escape شدن وارد تابع system() در تابع SetMacOSTags میشه.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
