اكتشفت ثغرة أمنية خطيرة في ExifTool، وهي أداة مفتوحة المصدر شائعة الاستخدام لقراءة وتعديل البيانات الوصفية لملفات الصور، مما يثير قلقاً بالغاً بشأن سلامة الأنظمة التي تعتمد عليها.
تم تتبع هذه الثغرة تحت المعرف CVE-2026-3102، وتؤثر بشكل خاص على أنظمة macOS، وتسمح للمهاجمين بإدخال أوامر shell خبيثة ضمن ملفات الصور، والتي يتم تنفيذها بصمت عند معالجتها.
وقد أثارت هذه الثغرة مخاوف واسعة في مختلف القطاعات التي تعتمد على تدفقات عمل آلية لمعالجة الصور، بدءاً من المختبرات الجنائية وصولاً إلى المؤسسات الإعلامية الكبرى.
ثغرة ExifTool الأمنية على macOS: تهديد خفي ينفذ الأوامر
اكتسبت ExifTool سمعة قوية كحل رئيسي للتعامل مع البيانات الوصفية عبر مئات الصيغ المختلفة للملفات.
يستخدم المصورون، وأمناء الأرشيف الرقمي، والمحققون الجنائيون، ومحللو البيانات، هذه الأداة لاستخلاص تفاصيل دقيقة مثل إحداثيات GPS، وإعدادات الكاميرا، والطوابع الزمنية المضمنة في ملفات الصور.
بالإضافة إلى الاستخدام الفردي، فإن مكتبتها مفتوحة المصدر مدمجة بعمق في أدوات الطرف الثالث، مثل منصات إدارة الصور وبرامج الأتمتة، مما يوسع نطاق التأثير المحتمل. ومن جهة أخرى، غالباً ما تعمل ExifTool بصمت ضمن أنظمة إدارة الأصول الرقمية في المؤسسات الكبيرة، مما يزيد من سطح الهجوم.
من جانبها، اكتشفت فرق أبحاث Kaspersky هذه الثغرة وأبلغت مطور ExifTool، فيل هارفي، بشكل مباشر، والذي سارع بإصدار تحديث لنسخة 13.50 بعد تلقي الإخطار. وقد أشارت فرق Kaspersky إلى أن هذا النوع من نواقل الهجوم المعتمدة على البيانات الوصفية غالباً ما يتم تفويته من قبل أدوات الفحص الأمني التقليدية، لأن معظم الأدوات تركز على محتوى الملف بدلاً من حقول البيانات الوصفية المضمنة. تكشف النتائج أن أداة يومية موثوقة يمكن أن تصبح بصمت بوابة للمهاجمين الذين يستهدفون بيئات macOS.
الأثر المحتمل لثغرة ExifTool
عند استغلالها بنجاح، تمنح هذه الثغرة المهاجمين وصولاً غير مصرح به إلى نظام macOS المتأثر.
ومن هناك، يمكنهم تنزيل وتنفيذ حمولات خبيثة عن بعد، أو نشر برامج التروجان، أو إسقاط برامج سرقة المعلومات المصممة لجمع البيانات الحساسة المخزنة على الجهاز.
ما يجعل هذا الهجوم مقلقاً بشكل خاص هو اختفاؤه شبه التام؛ حيث يمكن للصورة الخبيثة أن تبدو طبيعية تماماً، بل وتخدم غرضاً مشروعاً، بينما تعمل أوامر shell الضارة بالكامل بعيداً عن الأنظار.
ويعد التهديد خطيراً بشكل خاص للمؤسسات التي تتدفق فيها الصور عبر خطوط أنابيب آلية يومياً، بما في ذلك المختبرات الجنائية، وغرف الأخبار، والمكاتب القانونية، ومراكز التصوير الطبي.
في هذه البيئات، تصل الملفات من مصادر خارجية بانتظام، ويمكن لصورة واحدة مصممة بعناية يتم تسليمها عبر قناة تقديم روتينية أن تعرض البنية التحتية الخلفية للمؤسسة بأكملها للخطر بصمت.
آلية عمل ثغرة CVE-2026-3102
يكمن أصل هذا الاستغلال في كيفية معالجة ExifTool على macOS لحقل DateTimeOriginal، وهو علامة EXIF قياسية تخزن عادةً وقت التقاط الصورة.
يقوم المهاجمون بالتلاعب بهذا الحقل عن طريق تسجيله بتنسيق غير صالح ودمج أوامر shell خبيثة بداخله.
عندما تقوم ExifTool بمعالجة ملف كهذا في الوضع -n، المعروف أيضاً باسم علامة –printConv، فإنها تُنتج بيانات في شكل خام وغير معالج.
يتجاوز هذا الإنتاج الخام خطوة التنسيق التي من شأنها تحييد الأوامر المخفية، مما يؤدي إلى تفسيرها وتنفيذها مباشرة بواسطة shell الخاص بـ macOS.
تفاصيل CVE: نظرة أعمق على الثغرة
تُعد علامة -n شائعة الاستخدام عبر خطوط أنابيب معالجة الصور الآلية لأنها تنتج خرجاً نظيفاً وموجزاً وقابلاً للقراءة آلياً، وهو بالضبط النوع الذي تعتمد عليه تدفقات عمل المؤسسات.
هذا يجعلها افتراضياً طبيعياً في العمليات واسعة النطاق، مما يعني أيضاً أن الشرطين اللازمين لتشغيل الاستغلال – التشغيل على macOS مع تمكين -n – يلتقيان غالباً.
وبدون هذه العلامة، تقوم ExifTool بتقديم إخراج البيانات الوصفية بتنسيق قابل للقراءة من قبل الإنسان، مما يعطل الاستغلال عن غير قصد. ولكن بما أن الأنظمة التي تواجه الآلات نادراً ما تستخدم هذا التنسيق للعرض، فإن الثغرة تظل فعالة بالكامل في معظم عمليات النشر الواقعية.
التوصيات والإجراءات الوقائية
أصدر مؤلف ExifTool النسخة 13.50 لمعالجة CVE-2026-3102، ويجب على جميع المستخدمين الذين يشغلون الإصدار 13.49 أو أقدم التحديث فوراً.
يجب على المؤسسات تدقيق جميع منصات إدارة الأصول، وتطبيقات معالجة الصور، والبرامج النصية المخصصة على macOS للتأكد من أنها تستدعي ExifTool 13.50 أو أحدث، ولا تشغل نسخة قديمة مضمنة من المكتبة.
للحماية الإضافية، يجب معالجة الصور من مصادر غير موثوق بها أو غير معروفة في بيئات افتراضية معزولة مع وصول مقيد للشبكة.
كما يُنصح بمراقبة المكونات مفتوحة المصدر المستخدمة في سير العمل الداخلي باستمرار بحثاً عن الثغرات الأمنية المكشوفة حديثاً من خلال أدوات تتبع سلسلة التوريد المخصصة.