ExifTool修補macOS指令注入漏洞,未更新可能導致惡意圖片metadata觸發執行任意指令
來源: iThome(ID: 620) URL: https://www.ithome.com.tw/news/176164 發布日期: 2026-05-27
摘要
ExifTool 發布 13.50 版本,修補 CVE-2026-3102 macOS 指令注入漏洞。此漏洞由卡巴斯基研究團隊揭露,僅影響 macOS 環境。攻擊者可在 PNG 圖片的 DateTimeOriginal metadata 欄位嵌入惡意 shell 指令,當受害者使用未更新版本的 ExifTool 處理圖片時,SetMacOSTags 函式將執行該惡意指令,可導致木馬植入、竊資軟體執行、系統遭控制及資料外洩。
漏洞細節
| 項目 | 詳情 |
|---|---|
| CVE | CVE-2026-3102 |
| 嚴重程度 | 重大 |
| 影響版本 | ExifTool 13.49 以前 |
| 修補版本 | 13.50 |
| 揭露單位 | 卡巴斯基研究團隊 |
| 漏洞類型 | OS Command Injection |
| 攻擊平台 | 僅 macOS |
| 漏洞函式 | SetMacOSTags |
| 攻擊向量 | PNG 圖片 DateTimeOriginal 欄位嵌入惡意指令 |
行動建議
- 立即升級 ExifTool 至 13.50 或更新版本
- 企業用戶需確認整合 ExifTool 的第三方平台是否同步升級
衍生頁面
- ExifTool macOS指令注入漏洞CVE-2026-3102 — 漏洞事件頁面
- kaspersky — 揭露漏洞的資安公司