Como uma imagem pode comprometer seu Mac: compreendendo uma vulnerabilidade do ExifTool (CVE-2026-3102)

O GReAT descobriu a vulnerabilidade CVE-2026-3102 no ExifTool ≤13.49 em macOS, onde valores de data não saneados na função SetMacOSTags fluem para um sink system(), permitindo a execução arbitrária de comandos via injeção de metadados. Isso ocorre ao usar a flag -n com -tagsFromFile para copiar uma tag DateTimeOriginal criada para FileCreateDate. A cadeia de ataque envolve injetar aspas simples no DateTimeOriginal usando a flag -n (que ignora a validação PrintConvInv), e então copiar via -tagsFromFile para acionar SetMacOSTags com $val não escapado concatenado em /usr/bin/setfile -d 'PAYLOAD' 'FILE', possibilitando a substituição de comandos. A correção na versão 13.50 substituiu a concatenação de strings por chamadas system() em formato de lista, eliminando a necessidade de escaping manual. Defensores devem verificar se todos os fluxos de trabalho de processamento de fotos, ferramentas de gerenciamento de ativos e scripts de imagem em massa usam ExifTool ≥13.50, isolar o processamento de arquivos não confiáveis em máquinas air-gapped e reforçar a proteção de endpoint do macOS em dispositivos BYOD e de contratados.