ExifTool-Schwachstelle: macOS + Bild = Infektion

Kann ein Computer durch Malware infiziert werden, nur weil Fotos darauf verarbeitet werden? Und zwar ausgerechnet ein Mac, von dem viele (irrtümlicherweise) glauben, er sei gegen Malware resistent? Die Antwort lautet „Ja“. Oder genauer gesagt: Wenn du eine schwachstellenbehaftete ExifTool-Version oder eine der vielen darauf basierenden Apps verwendest. ExifTool ist eine beliebte Open-Source-Lösung zum Lesen, Schreiben und Bearbeiten von Bildmetadaten. Es ist ein praktisches Tool für Fotografen und digitale Archivierung, das häufig in der Datenanalyse, der digitalen Forensik und im investigativen Journalismus eingesetzt wird.

Unsere GReAT-Experten haben eine kritische Schwachstelle entdeckt (Aktenzeichen CVE-2026-3102). Sie kann bei der Verarbeitung bösartiger Bilddateien ausgenutzt werden, falls Shell-Befehle in den Metadaten eingebettet sind. Wenn eine anfällige ExifTool-Version eine solche Datei unter macOS verarbeitet, wird der Befehl ausgeführt. Dann kann ein Angreifer unerlaubte Aktionen im System vornehmen, z. B. Payload von einem Remote-Server herunterladen und ausführen. Wir erläutern die Funktionsweise dieses Exploits, geben praktische Tipps zur Verteidigung und zum Schwachstellen-Check für dein System.

Was ist ExifTool?

ExifTool ist eine kostenlose Open-Source-Anwendung, die sehr spezifische, aber durchaus wichtige Aufgabe erfüllt: Sie extrahiert Metadaten aus Dateien und ermöglicht es, diese Daten und die Dateien selbst zu verarbeiten. Metadaten sind Informationen, die in die meisten modernen Dateiformate eingebettet sind und den eigentlichen Inhalt einer Datei beschreiben oder ergänzen. In einem Musiktitel enthalten die Metadaten beispielsweise den Namen des Interpreten, den Songtitel, das Genre, Erscheinungsjahr, Albumcover und weitere Angaben. Metadaten für Fotos bestehen normalerweise aus Datum und Uhrzeit der Aufnahme, GPS-Koordinaten, ISO- und Verschlusszeit-Einstellungen sowie Hersteller und Kameramodell. Sogar Office-Dokumente speichern Metadaten, wie den Namen des Autors, die Gesamtbearbeitungsdauer und das ursprüngliche Erstellungsdatum.

ExifTool ist branchenführend in Bezug auf die Anzahl der unterstützten Dateiformate sowie die Tiefe, Genauigkeit und Vielseitigkeit der Verarbeitungsmöglichkeiten. Häufige Anwendungsfälle sind:

• Anpassen von Datumsangaben, wenn sie in den Quelldateien falsch aufgezeichnet wurden
• Verschieben von Metadaten zwischen verschiedenen Dateiformaten (zum Beispiel von JPG in PNG)
• Abrufen von Miniaturansichten aus professionellen RAW-Formaten (beispielsweise 3FR, ARW oder CR3)
• Abrufen von Daten aus Spezialformaten (FLIR-Wärmebilder, LYTRO-Lichtfeldfotos und medizinische DICOM-Bilder)
• Umbenennen von Dateien basierend auf dem tatsächlichen Aufnahme- oder Erstellungszeitpunkt
• Einbetten von GPS-Koordinaten in eine Datei. Dazu werden Dateien mit einem separat gespeicherten GPS-Trackingprotokoll synchronisiert oder der Name des nächstgelegenen Ortes wird hinzugefügt

Daneben gibt es noch viele andere Anwendungsmöglichkeiten. ExifTool ist sowohl als eigenständige Befehlszeilenanwendung als auch als Open-Source-Bibliothek verfügbar. Darum ist der Code oft in leistungsfähigen Mehrzweck-Tools enthalten. Beispiele sind Fotoverwaltungssysteme (Exif Photoworker und MetaScope) oder Automatisierungstools zur Bildverarbeitung (ImageIngester). In großen digitalen Bibliotheken, Verlagen und Bildanalyseunternehmen wird ExifTool häufig im automatisierten Modus verwendet, der durch interne Unternehmensanwendungen und vordefinierte Skripte gesteuert wird.

So funktioniert CVE-2026-3102

Wenn ein Angreifer diese Schwachstelle ausnutzen will, muss er eine Bilddatei auf ganz bestimmte Weise modifizieren. Das Bild selbst kann alles Mögliche zeigen. Der Trick: Die Metadaten werden in einem ungültigen Format in das Feld für Erstellungsdatum und -uhrzeit (DateTimeOriginal) eingetragen. Neben Datum und Uhrzeit versteckt der Bösewicht in diesem Feld auch bösartige Shell-Befehle. Aufgrund der speziellen Methode, mit der ExifTool in macOS mit Daten umgeht, werden diese Befehle nur unter zwei Bedingungen ausgeführt:

• Die Anwendung oder die Bibliothek läuft unter macOS
• Das Flag -n (oder –printConv) ist aktiviert. Dieser Modus gibt maschinenlesbare Daten ohne weitere Verarbeitung und unverändert aus. Im Modus -n werden die Bildausrichtungsdaten beispielsweise wenig informativ als „6“ ausgegeben, während sie durch zusätzliche Verarbeitung zu dem lesbaren „Rotated 90 CW“ (um 90° im Uhrzeigersinn gedreht) werden. Diese „bessere Lesbarkeit“ verhindert eine Ausnutzung der Schwachstelle

Ein seltenes, aber durchaus realistisches Szenario für einen gezielten Angriff könnte so aussehen: Ein forensisches Labor, eine Medienredaktion oder ein großes Unternehmen, das juristische oder medizinische Dokumente verarbeitet, erhält ein digitales Dokument. Beispielsweise ein sensationelles Foto oder eine Klageschrift. Die Art des Köders hängt von der Tätigkeit des Opfers ab. Alle im Unternehmen eingehenden Dateien werden über ein zentrales DAM-System (Digital Asset Management) sortiert und katalogisiert. In großen Unternehmen kann dies automatisiert erfolgen. Einzelpersonen und kleine Unternehmen führen die erforderliche Software manuell aus. In beiden Fällen müsste in dieser Software die ExifTool-Bibliothek verwendet werden. Bei der Verarbeitung der Daten des schädlichen Fotos wird der betreffende Computer mit einem Trojaner oder Infostealer infiziert. Dann kann der Schädling alle auf dem angegriffenen Gerät gespeicherten wertvollen Daten stehlen. Das Opfer bemerkt zunächst gar nichts, da der Angriff die Bildmetadaten ausnutzt. Das Bild selbst kann harmlos, völlig angemessen und nützlich sein.

So schützt du dich vor der ExifTool-Schwachstelle

Die GReAT-Forscher die Schwachstelle an den Entwickler von ExifTool gemeldet, und er hat umgehend die Version 13.50 veröffentlicht, die nicht für CVE-2026-3102 anfällig ist. Version 13.49 und ältere Versionen müssen aktualisiert werden, um den Fehler zu beheben.

Sorge unbedingt dafür, dass in allen Fotoverarbeitungs-Workflows die aktualisierte Version verwendet wird. Du solltest auch sicherstellen, dass alle Asset-Verwaltungsplattformen und Fotoverwaltungs-Apps sowie alle Skripte zur Massenverarbeitung von Bildern, die auf Macs ausgeführt werden, ExifTool Version 13.50 oder höher aufrufen und keine eingebettete ältere Kopie der ExifTool-Bibliothek enthalten.

Natürlich kann ExifTool – wie jede andere Software – weitere Schwachstellen dieser Klasse enthalten. Mit diesen Maßnahmen kannst du deinen Schutz stärken:

• Isoliere die Verarbeitung nicht vertrauenswürdiger Dateien. Verarbeite Bilder aus fragwürdigen Quellen auf einem dedizierten Computer oder in einer virtuellen Umgebung. Der Zugriff dieses Computers auf andere Rechner, Datenspeicher und Netzwerkressourcen muss streng beschränkt sein.
• Überwache Schwachstellen in der Software-Lieferkette kontinuierlich. Unternehmen, die in ihren Arbeitsabläufen auf Open-Source-Komponenten angewiesen sind, können Open Source Software Threats Data Feed für das Tracking verwenden.

Wenn du mit Freelancern oder unabhängigen Auftragnehmern zusammenarbeitest (oder BYOD zulässt), erlaube diesen Personen nur dann den Zugriff auf dein Netzwerk, wenn sie eine umfassende Sicherheitslösung auf ihren macOS-Geräten installiert haben.

Glaubst du immer noch, dass macOS sicher ist? Dann solltest du mehr über andere Mac-Bedrohungen lesen:

• Banshee: Dieser Dieb hat es auf macOS-Nutzer abgesehen
• Sind Macs sicher? Bedrohungen für macOS-Benutzer
• Infostealer ist dem Chat beigetreten
• AirBorne: Angriffe auf Apple-Geräte durch AirPlay-Schwachstellen
• Hacken von Android, macOS, iOS und Linux über eine Bluetooth-Schwachstelle