Un computer pu\u00f2 essere infettato da un malware semplicemente elaborando una foto, in particolare se quel computer \u00e8 un Mac, che molti credono ancora (sbagliando) essere intrinsecamente resistente ai malware? A quanto pare, la risposta \u00e8 s\u00ec, se si utilizza una versione vulnerabile di ExifTool o una delle tante app basate su di essa. ExifTool \u00e8 una soluzione open source onnipresente per la lettura, la scrittura e la modifica dei metadati delle immagini. \u00c8 lo strumento ideale per fotografi e archivisti digitali ed \u00e8 ampiamente utilizzato nell\u2019analisi dei dati, nella digital forensics e nel giornalismo investigativo.<\/p>\n
I nostri esperti GReAT hanno scoperto una vulnerabilit\u00e0 critica, tracciata come CVE-2026-3102<\/a>, che viene attivata durante l\u2019elaborazione di file di immagine dannosi contenenti comandi della shell incorporati nei relativi metadati. Quando una versione vulnerabile di ExifTool in macOS elabora un file di questo tipo, il comando viene eseguito. Ci\u00f2 consente all\u2019autore di una minaccia di eseguire azioni non autorizzate nel sistema, ad esempio il download e l\u2019esecuzione di un carico utile da un server remoto. In questo post illustreremo come funziona questo exploit, forniremo consigli per la difesa attuabili e spiegheremo come verificare se il sistema \u00e8 vulnerabile.<\/p>\n ExifTool<\/a> \u00e8 un\u2019applicazione open source gratuita che soddisfa un requisito critico ma di nicchia: estrae i metadati dai file e consente l\u2019elaborazione sia dei dati che dei file stessi. I metadati sono le informazioni integrate nella maggior parte dei formati di file moderni<\/a> che descrivono o integrano il contenuto principale di un file. Ad esempio, in un brano musicale i metadati includono il nome dell\u2019artista, il titolo del brano, il genere, l\u2019anno di uscita, la copertina dell\u2019album e cos\u00ec via. Per le fotografie, i metadati sono generalmente coerenti con la data e l\u2019ora dello scatto, le coordinate GPS, le impostazioni ISO e il tempo di posa, nonch\u00e9 la marca e il modello della fotocamera. Anche i documenti di Office archiviano i metadati, come il nome dell\u2019autore, il tempo totale di modifica e la data di creazione originale.<\/p>\n ExifTool \u00e8 il leader del settore in termini di volume di formati di file supportati, nonch\u00e9 di profondit\u00e0, accuratezza e versatilit\u00e0 delle sue capacit\u00e0 di elaborazione. Tra gli scenari di utilizzo comuni sono inclusi:<\/p>\n L\u2019elenco potrebbe continuare all\u2019infinito. ExifTool \u00e8 disponibile sia come applicazione da riga di comando indipendente che come libreria open-source, il che significa che il suo codice spesso viene eseguito sotto strumenti potenti e multiuso; esempi includono sistemi di organizzazione delle foto come Exif Photoworker e MetaScope o strumenti di automazione dell\u2019elaborazione delle immagini come ImageIngester. Nelle grandi biblioteche digitali, nelle case editrici e nelle aziende di analisi delle immagini, ExifTool viene spesso utilizzato in modalit\u00e0 automatizzata, attivata da applicazioni aziendali interne e script personalizzati.<\/p>\n Per sfruttare questa vulnerabilit\u00e0, un utente malintenzionato deve creare un file immagine in un determinato modo. Sebbene l\u2019immagine stessa possa essere qualsiasi cosa, l\u2019exploit risiede nei metadati, in particolare nel campo DateTimeOriginal (data e ora di creazione), che deve essere registrato in un formato non valido. Oltre alla data e all\u2019ora, questo contenitore deve contenere comandi shell dannosi. A causa del modo specifico in cui ExifTool gestisce i dati in macOS, questi comandi verranno eseguiti solo se vengono soddisfatte due condizioni:<\/p>\n Uno scenario raro ma non fantastico per un attacco mirato sarebbe il seguente: un laboratorio forense, una redazione di contenuti multimediali o una grande organizzazione che elabora documentazione legale o medica riceve un documento digitale di interesse. Pu\u00f2 trattarsi di una foto sensazionale o di un\u2019azione legale: l\u2019esca dipende dal tipo di lavoro della vittima. Tutti i file che entrano in azienda sono sottoposti a smistamento e catalogazione tramite un sistema di gestione delle risorse digitali (DAM). Nelle grandi aziende, questo pu\u00f2 essere automatizzato; privati e piccole aziende eseguono manualmente il software richiesto. In entrambi i casi, la libreria ExifTool deve essere utilizzata nell\u2019ambito di questo software. Durante l\u2019elaborazione della data della foto dannosa, il computer in cui si verifica l\u2019elaborazione viene infettato da un Trojan o da un infostealer, che \u00e8 successivamente in grado di rubare tutti i dati preziosi archiviati nel dispositivo attaccato. Nel frattempo, la vittima potrebbe facilmente non notare nulla, poich\u00e9 l\u2019attacco sfrutta i metadati dell\u2019immagine mentre l\u2019immagine stessa potrebbe essere innocua, del tutto appropriata e utile.<\/p>\n I ricercatori di GReAT hanno segnalato la vulnerabilit\u00e0 all\u2019autore di ExifTool, che ha prontamente rilasciato la versione 13.50<\/a>, che non \u00e8 soggetta a CVE-2026-3102. \u00c8 necessario aggiornare le versioni 13.49 e precedenti per correggere il difetto.<\/p>\n \u00c8 fondamentale assicurarsi che tutti i flussi di lavoro di elaborazione delle foto utilizzino la versione aggiornata. \u00c8 necessario verificare che tutte le piattaforme di gestione delle risorse, le app di organizzazione delle foto e gli script di elaborazione in blocco delle immagini in esecuzione nei Mac richiamino ExifTool versione 13.50 o successiva e non contengano un contenitore incorporato precedente della libreria ExifTool.<\/p>\n Naturalmente, ExifTool, come qualsiasi software, pu\u00f2 contenere vulnerabilit\u00e0 aggiuntive di questa classe. Per potenziare le difese, \u00e8 inoltre consigliabile:<\/p>\n Infine, se lavori con liberi professionisti o appaltatori indipendenti (o semplicemente consenti il BYOD), consenti loro di accedere alla rete solo se dispongono di una soluzione di protezione completa macOS<\/a>soluzione di protezione completa macOS [\/placeholder] installata.<\/p>\n Pensi ancora macOS sia sicuro? Allora leggi queste minacce che colpiscono i Mac:<\/p>\n \u2022 Banshee: uno stealer che prende di mira gli utenti macOS <\/a><\/p>\n \u2022 I Mac sono sicuri? Minacce per gli utenti macOS <\/a><\/p>\n \u2022 L\u2019infostealer \u00e8 entrato nella chat <\/a><\/p>\n \u2022 AirBorne: attacchi ai dispositivi Apple tramite vulnerabilit\u00e0 in AirPlay <\/a><\/p>\nCos\u2019\u00e8 lo spyware?<\/h2>\n
\n
Come funziona CVE-2026-3102<\/h2>\n
\n
Come proteggersi dalla vulnerabilit\u00e0 di ExifTool<\/h2>\n
\n