{"id":33247,"date":"2026-03-06T15:41:15","date_gmt":"2026-03-06T13:41:15","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33247"},"modified":"2026-03-07T15:41:39","modified_gmt":"2026-03-07T13:41:39","slug":"exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/33247\/","title":{"rendered":"ExifTool-Schwachstelle: macOS + Bild = Infektion"},"content":{"rendered":"<p>Kann ein Computer durch Malware infiziert werden, nur weil Fotos darauf verarbeitet werden? Und zwar ausgerechnet ein Mac, von dem viele (irrt\u00fcmlicherweise) glauben, er sei gegen Malware resistent? Die Antwort lautet \u201eJa\u201c. Oder genauer gesagt: Wenn du eine schwachstellenbehaftete ExifTool-Version oder eine der vielen darauf basierenden Apps verwendest. ExifTool ist eine beliebte Open-Source-L\u00f6sung zum Lesen, Schreiben und Bearbeiten von Bildmetadaten. Es ist ein praktisches Tool f\u00fcr Fotografen und digitale Archivierung, das h\u00e4ufig in der Datenanalyse, der digitalen Forensik und im investigativen Journalismus eingesetzt wird.<\/p>\n<p>Unsere GReAT-Experten haben eine kritische Schwachstelle entdeckt (Aktenzeichen <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-3102\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2026-3102<\/a>). Sie kann bei der Verarbeitung b\u00f6sartiger Bilddateien ausgenutzt werden, falls Shell-Befehle in den Metadaten eingebettet sind. Wenn eine anf\u00e4llige ExifTool-Version eine solche Datei unter macOS verarbeitet, wird der Befehl ausgef\u00fchrt. Dann kann ein Angreifer unerlaubte Aktionen im System vornehmen, z.\u00a0B. Payload von einem Remote-Server herunterladen und ausf\u00fchren. Wir erl\u00e4utern die Funktionsweise dieses Exploits, geben praktische Tipps zur Verteidigung und zum Schwachstellen-Check f\u00fcr dein System.<\/p>\n<h2>Was ist ExifTool?<\/h2>\n<p><a href=\"https:\/\/exiftool.org\/\" target=\"_blank\" rel=\"noopener nofollow\">ExifTool<\/a> ist eine kostenlose Open-Source-Anwendung, die sehr spezifische, aber durchaus wichtige Aufgabe erf\u00fcllt: Sie extrahiert Metadaten aus Dateien und erm\u00f6glicht es, diese Daten und die Dateien selbst zu verarbeiten. Metadaten sind Informationen, <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-remove-metadata\/52913\/\" target=\"_blank\" rel=\"noopener nofollow\">die in die meisten modernen Dateiformate eingebettet sind<\/a> und den eigentlichen Inhalt einer Datei beschreiben oder erg\u00e4nzen. In einem Musiktitel enthalten die Metadaten beispielsweise den Namen des Interpreten, den Songtitel, das Genre, Erscheinungsjahr, Albumcover und weitere Angaben. Metadaten f\u00fcr Fotos bestehen normalerweise aus Datum und Uhrzeit der Aufnahme, GPS-Koordinaten, ISO- und Verschlusszeit-Einstellungen sowie Hersteller und Kameramodell. Sogar Office-Dokumente speichern Metadaten, wie den Namen des Autors, die Gesamtbearbeitungsdauer und das urspr\u00fcngliche Erstellungsdatum.<\/p>\n<p>ExifTool ist branchenf\u00fchrend in Bezug auf die Anzahl der unterst\u00fctzten Dateiformate sowie die Tiefe, Genauigkeit und Vielseitigkeit der Verarbeitungsm\u00f6glichkeiten. H\u00e4ufige Anwendungsf\u00e4lle sind:<\/p>\n<ul>\n<li>Anpassen von Datumsangaben, wenn sie in den Quelldateien falsch aufgezeichnet wurden<\/li>\n<li>Verschieben von Metadaten zwischen verschiedenen Dateiformaten (zum Beispiel von JPG in PNG)<\/li>\n<li>Abrufen von Miniaturansichten aus professionellen RAW-Formaten (beispielsweise 3FR, ARW oder CR3)<\/li>\n<li>Abrufen von Daten aus Spezialformaten (FLIR-W\u00e4rmebilder, LYTRO-Lichtfeldfotos und medizinische DICOM-Bilder)<\/li>\n<li>Umbenennen von Dateien basierend auf dem tats\u00e4chlichen Aufnahme- oder Erstellungszeitpunkt<\/li>\n<li>Einbetten von GPS-Koordinaten in eine Datei. Dazu werden Dateien mit einem separat gespeicherten GPS-Trackingprotokoll synchronisiert oder der Name des n\u00e4chstgelegenen Ortes wird hinzugef\u00fcgt<\/li>\n<\/ul>\n<p>Daneben gibt es noch viele andere Anwendungsm\u00f6glichkeiten. ExifTool ist sowohl als eigenst\u00e4ndige Befehlszeilenanwendung als auch als Open-Source-Bibliothek verf\u00fcgbar. Darum ist der Code oft in leistungsf\u00e4higen Mehrzweck-Tools enthalten. Beispiele sind Fotoverwaltungssysteme (Exif Photoworker und MetaScope) oder Automatisierungstools zur Bildverarbeitung (ImageIngester). In gro\u00dfen digitalen Bibliotheken, Verlagen und Bildanalyseunternehmen wird ExifTool h\u00e4ufig im automatisierten Modus verwendet, der durch interne Unternehmensanwendungen und vordefinierte Skripte gesteuert wird.<\/p>\n<h2>So funktioniert CVE-2026-3102<\/h2>\n<p>Wenn ein Angreifer diese Schwachstelle ausnutzen will, muss er eine Bilddatei auf ganz bestimmte Weise modifizieren. Das Bild selbst kann alles M\u00f6gliche zeigen. Der Trick: Die Metadaten werden in einem ung\u00fcltigen Format in das Feld f\u00fcr Erstellungsdatum und -uhrzeit (DateTimeOriginal) eingetragen. Neben Datum und Uhrzeit versteckt der B\u00f6sewicht in diesem Feld auch b\u00f6sartige Shell-Befehle. Aufgrund der speziellen Methode, mit der ExifTool in macOS mit Daten umgeht, werden diese Befehle nur unter zwei Bedingungen ausgef\u00fchrt:<\/p>\n<ul>\n<li>Die Anwendung oder die Bibliothek l\u00e4uft unter macOS<\/li>\n<li>Das Flag -n (oder \u2013printConv) ist aktiviert. Dieser Modus gibt maschinenlesbare Daten ohne weitere Verarbeitung und unver\u00e4ndert aus. Im Modus -n werden die Bildausrichtungsdaten beispielsweise wenig informativ als \u201e6\u201c ausgegeben, w\u00e4hrend sie durch zus\u00e4tzliche Verarbeitung zu dem lesbaren \u201eRotated 90 CW\u201c (um 90\u00b0 im Uhrzeigersinn gedreht) werden. Diese \u201ebessere Lesbarkeit\u201c verhindert eine Ausnutzung der Schwachstelle<\/li>\n<\/ul>\n<p>Ein seltenes, aber durchaus realistisches Szenario f\u00fcr einen gezielten Angriff k\u00f6nnte so aussehen: Ein forensisches Labor, eine Medienredaktion oder ein gro\u00dfes Unternehmen, das juristische oder medizinische Dokumente verarbeitet, erh\u00e4lt ein digitales Dokument. Beispielsweise ein sensationelles Foto oder eine Klageschrift. Die Art des K\u00f6ders h\u00e4ngt von der T\u00e4tigkeit des Opfers ab. Alle im Unternehmen eingehenden Dateien werden \u00fcber ein zentrales DAM-System (Digital Asset Management) sortiert und katalogisiert. In gro\u00dfen Unternehmen kann dies automatisiert erfolgen. Einzelpersonen und kleine Unternehmen f\u00fchren die erforderliche Software manuell aus. In beiden F\u00e4llen m\u00fcsste in dieser Software die ExifTool-Bibliothek verwendet werden. Bei der Verarbeitung der Daten des sch\u00e4dlichen Fotos wird der betreffende Computer mit einem Trojaner oder Infostealer infiziert. Dann kann der Sch\u00e4dling alle auf dem angegriffenen Ger\u00e4t gespeicherten wertvollen Daten stehlen. Das Opfer bemerkt zun\u00e4chst gar nichts, da der Angriff die Bildmetadaten ausnutzt. Das Bild selbst kann harmlos, v\u00f6llig angemessen und n\u00fctzlich sein.<\/p>\n<h2>So sch\u00fctzt du dich vor der ExifTool-Schwachstelle<\/h2>\n<p>Die GReAT-Forscher die Schwachstelle an den Entwickler von ExifTool gemeldet, und er hat umgehend die <a href=\"https:\/\/exiftool.org\/\" target=\"_blank\" rel=\"noopener nofollow\">Version 13.50<\/a> ver\u00f6ffentlicht, die nicht f\u00fcr CVE-2026-3102 anf\u00e4llig ist. Version\u00a013.49 und \u00e4ltere Versionen m\u00fcssen aktualisiert werden, um den Fehler zu beheben.<\/p>\n<p>Sorge unbedingt daf\u00fcr, dass in allen Fotoverarbeitungs-Workflows die aktualisierte Version verwendet wird. Du solltest auch sicherstellen, dass alle Asset-Verwaltungsplattformen und Fotoverwaltungs-Apps sowie alle Skripte zur Massenverarbeitung von Bildern, die auf Macs ausgef\u00fchrt werden, ExifTool Version\u00a013.50 oder h\u00f6her aufrufen und keine eingebettete \u00e4ltere Kopie der ExifTool-Bibliothek enthalten.<\/p>\n<p>Nat\u00fcrlich kann ExifTool\u00a0\u2013 wie jede andere Software\u00a0\u2013 weitere Schwachstellen dieser Klasse enthalten. Mit diesen Ma\u00dfnahmen kannst du deinen Schutz st\u00e4rken:<\/p>\n<ul>\n<li><strong>Isoliere die Verarbeitung nicht vertrauensw\u00fcrdiger Dateien.<\/strong> Verarbeite Bilder aus fragw\u00fcrdigen Quellen auf einem dedizierten Computer oder in einer virtuellen Umgebung. Der Zugriff dieses Computers auf andere Rechner, Datenspeicher und Netzwerkressourcen muss streng beschr\u00e4nkt sein.<\/li>\n<li><strong>\u00dcberwache Schwachstellen in der Software-Lieferkette kontinuierlich. <\/strong>Unternehmen, die in ihren Arbeitsabl\u00e4ufen auf Open-Source-Komponenten angewiesen sind, k\u00f6nnen <a href=\"https:\/\/www.kaspersky.com\/open-source-feed?icid=tr_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___kti____dc583ac8416d9ba4\" target=\"_blank\" rel=\"noopener nofollow\">Open Source Software Threats Data Feed<\/a>\u00a0f\u00fcr das Tracking verwenden.<\/li>\n<\/ul>\n<p>Wenn du mit Freelancern oder unabh\u00e4ngigen Auftragnehmern zusammenarbeitest (oder BYOD zul\u00e4sst), erlaube diesen Personen nur dann den Zugriff auf dein Netzwerk, wenn sie eine <a href=\"https:\/\/www.kaspersky.de\/mac-antivirus?utm_source=affiliate&amp;icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____4367d5308cc8a8eb\" target=\"_blank\" rel=\"noopener\">umfassende Sicherheitsl\u00f6sung<\/a> auf ihren macOS-Ger\u00e4ten installiert haben.<\/p>\n<blockquote><p>Glaubst du immer noch, dass macOS sicher ist? Dann solltest du mehr \u00fcber andere Mac-Bedrohungen lesen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/\" target=\"_blank\" rel=\"noopener\"><strong>Banshee: Dieser Dieb hat es auf macOS-Nutzer abgesehen<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/macos-users-cyberthreats-2023\/30758\/\" target=\"_blank\" rel=\"noopener\"><strong>Sind Macs sicher? Bedrohungen f\u00fcr macOS-Benutzer<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/share-chatgpt-chat-clickfix-macos-amos-infostealer\/33027\/\" target=\"_blank\" rel=\"noopener\"><strong>Infostealer ist dem Chat beigetreten<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/airborne-wormable-zero-click-vulnerability-in-apple-airplay\/32202\/\" target=\"_blank\" rel=\"noopener\"><strong>AirBorne: Angriffe auf Apple-Ger\u00e4te durch AirPlay-Schwachstellen<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/bluetooth-vulnerability-android-ios-macos-linux\/30750\/\" target=\"_blank\" rel=\"noopener\"><strong>Hacken von Android, macOS, iOS und Linux \u00fcber eine Bluetooth-Schwachstelle<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"33246\">\n","protected":false},"excerpt":{"rendered":"<p>Eine gr\u00fcndliche Analyse der Schwachstelle CVE-2026-3102, einer potenziellen Bedrohung f\u00fcr alle, die auf einem Mac Bilder verarbeiten.<\/p>\n","protected":false},"author":312,"featured_media":33248,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[274,903,1498,1653,645,1654,962],"class_list":{"0":"post-33247","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bedrohungen","11":"tag-macos","12":"tag-schwachstellen","13":"tag-security","14":"tag-technologie","15":"tag-tips","16":"tag-zero-day"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/33247\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30242\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/25319\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/13189\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30115\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/29013\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/31890\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30502\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/41398\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/14322\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/55362\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/23671\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/24782\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30360\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/35999\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/35656\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/macos\/","name":"MacOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33247","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/312"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33247"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33247\/revisions"}],"predecessor-version":[{"id":33252,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33247\/revisions\/33252"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33248"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}