الثغرة الأمنية في ExifTool: كيف يمكن لصورة أن تصيب أنظمة macOS

تحليل متعمق للثغرة الأمنية CVE-2026-3102، وهي ثغرة أمنية تشكل تهديدًا محتملاً لكل من يعالج الصور على أجهزة Mac.

CVE-2026-3102: الثغرة الأمنية لمعالجة الصور في ExifTool في نظام التشغيل macOS

هل يمكن إصابة جهاز كمبيوتر ببرامج ضارة بمجرد معالجة صورة – خاصةً إذا كان هذا الجهاز من نوع Mac، الذي لا يزال الكثيرون يعتقدون (خطأً) أنه محصن بطبيعته ضد الفيروسات؟ الحقيقة هي أن الإجابة نعم – إذا كنت تستخدم نسخة ضعيفة من أداة ExifTool أو أحد التطبيقات العديدة المبنية عليها. وتُعد أداة ExifTool حلاً مفتوح المصدر وواسع الانتشار لقراءة وكتابة وتعديل البيانات الوصفية للصور. وهي الأداة الأساسية للمصورين وأخصائيي الأرشفة الرقمية، وتُستخدم على نطاق واسع في تحليل البيانات والتحقيقات الجنائية الرقمية والصحافة الاستقصائية.

اكتشف خبراؤنا في فريق GReAT ثغرة أمنية حرجة – يتم تتبعها باسم CVE-2026-3102 – يتم تفعيلها أثناء معالجة ملفات صور ضارة تحتوي على أوامر برمجية مدمجة داخل بياناتها الوصفية. وعندما تعالج نسخة مصابة من أداة ExifTool على نظام macOS مثل هذا الملف، يتم تنفيذ الأمر. ويتيح ذلك للمهاجم تنفيذ إجراءات غير مصرح بها داخل النظام، مثل تنزيل وتشغيل برامج ضارة من خادم عن بُعد. وسنحلل في هذا المنشور طريقة عمل ثغرة الاستغلال تلك، ونقدم توصيات دفاعية عملية، ونشرح كيفية التحقق مما إذا كان نظامك عرضة للاختراق أم لا.

ما هي أداة ExifTool؟

أداة ExifTool عبارة عن تطبيق مجاني ومفتوح المصدر يلبي احتياجًا دقيقًا وحرجًا؛ فهي تستخرج البيانات الوصفية من الملفات، وتتيح معالجة هذه البيانات والملفات ذاتها. والبيانات الوصفية هي المعلومات المدمجة في معظم تنسيقات الملفات الحديثة والتي تصف المحتوى الأساسي للملف أو تكمله. على سبيل المثال، تتضمن البيانات الوصفية في ملف موسيقي اسم الفنان، وعنوان الأغنية، والنوع، وسنة الإصدار، وغلاف الألبوم، وما إلى ذلك. أما في الصور الفوتوغرافية، فتتكون البيانات الوصفية عادةً من تاريخ ووقت اللقطة، وإحداثيات الموقع (GPS)، وإعدادات ISO وسرعة المغلاق، ونوع الكاميرا وطرازها. وحتى المستندات المكتبية تخزن بيانات وصفية، مثل اسم الكاتب، وإجمالي وقت التحرير، وتاريخ الإنشاء الأصلي.

تُعتبر أداة ExifTool الرائدة في هذا المجال من حيث الحجم الهائل لتنسيقات الملفات التي تدعمها، بالإضافة إلى عمق ودقة ومرونة قدراتها في المعالجة. وتشمل حالات الاستخدام الشائعة ما يلي:

  • تعديل التواريخ في حال تسجيلها بشكل خاطئ في ملفات المصدر
  • نقل البيانات الوصفية بين تنسيقات الملفات المختلفة (من JPG إلى PNG وما إلى ذلك)
  • استخراج الصور المصغرة للمعاينة من تنسيقات RAW الاحترافية (مثل 3FR أو ARW أو CR3)
  • استعادة البيانات من التنسيقات المتخصصة، بما في ذلك الصور الحرارية من كاميرات FLIR، وصور المجال الضوئي من LYTRO، والصور الطبية بتنسيق DICOM
  • إعادة تسمية ملفات الصور / الفيديو (وما إلى ذلك) بناءً على وقت التصوير الفعلي، ومزامنة وقت إنشاء الملف وتاريخه وفقًا لذلك
  • تضمين إحداثيات الموقع الجغرافي (GPS) في الملف عبر مزامنته مع سجل مسار GPS مخزن بشكل منفصل، أو إضافة اسم أقرب منطقة مأهولة بالسكان

القائمة تطول وتطول. وتتوفر أداة ExifTool كبرنامج مستقل يعمل عبر سطر الأوامر وأيضًا كمكتبة برمجية مفتوحة المصدر، مما يعني أن تعليماته البرمجية تعمل غالبًا في الخلفية تحت غطاء أدوات قوية متعددة الأغراض؛ ومن الأمثلة على ذلك أنظمة تنظيم الصور مثل Exif Photoworker وMetaScope، أو أدوات أتمتة معالجة الصور مثل ImageIngester. وفي المكتبات الرقمية الضخمة، ودور النشر، وشركات تحليل الصور، تُستخدم أداة ExifTool بشكل متكرر في وضع الأتمتة، حيث يتم تشغيلها بواسطة تطبيقات المؤسسات الداخلية والبرامج النصية المخصصة.

كيف تعمل ثغرة CVE-2026-3102

لاستغلال هذه الثغرة الأمنية، يجب على المهاجم صياغة ملف صورة بطريقة معينة. وبينما يمكن أن تكون الصورة نفسها أي شيء، فإن ثغرة الاستغلال تكمن في البيانات الوصفية – تحديدًا في حقل DateTimeOriginal (تاريخ ووقت الإنشاء)، الذي يجب تسجيله بتنسيق غير صالح. وبالإضافة إلى التاريخ والوقت، يجب أن يحتوي هذا الحقل على أوامر برمجية ضارة. ونظرًا للطريقة المحددة التي تتعامل بها أداة ExifTool مع البيانات على نظام macOS، فإن هذه الأوامر لن تُنفذ إلا عند استيفاء شرطين:

  • أن يكون التطبيق أو المكتبة قيد التشغيل على نظام macOS
  • أن يتم تمكين علامة -n (أو –printConv). ويخرج هذا الوضع البيانات بتنسيق قابل للقراءة من قِبل الآلة دون إجراء أي معالجة إضافية عليها. على سبيل المثال، في وضع -n يتم إخراج بيانات اتجاه الكاميرا ببساطة كرقم “ستة”، بينما تصبح مع المعالجة الإضافية أكثر وضوحًا للبشر مثل “تدوير 90 درجة باتجاه عقارب الساعة”. ومن المثير للاهتمام أن هذه “المعالجة البشرية” تمنع استغلال الثغرة الأمنية.

قد يبدو سيناريو الهجوم المستهدف، وهو أمر نادر لكنه ليس خياليًا على الإطلاق، كالتالي: يتلقى مختبر أدلة جنائية، أو مكتب تحرير إعلامي، أو مؤسسة كبرى تعالج وثائق قانونية أو طبية، مستندًا رقميًا يثير اهتمامها. وقد يكون هذا المستند صورة مثيرة للجدل أو دعوى قانونية – حيث يعتمد الطُعم على نوع عمل الضحية. تخضع جميع الملفات التي تدخل الشركة للفرز والفهرسة عبر نظام إدارة الأصول الرقمية (DAM). وفي الشركات الكبرى، قد تكون هذه العملية مؤتمتة، بينما يقوم الأفراد والشركات الصغيرة بتشغيل البرمجيات المطلوبة يدويًا. وفي كلتا الحالتين، يجب أن تكون مكتبة ExifTool قيد التشغيل في خلفية هذه البرامج. وعند معالجة تاريخ الصورة الضارة، يصاب الكمبيوتر الذي تتم فيه المعالجة بفيروس حصان طروادة أو برنامج لسرقة المعلومات، والذي يصبح لاحقًا قادرًا على سرقة جميع البيانات القيمة المخزنة على الجهاز المخترق. وفي هذه الأثناء، قد لا يلاحظ الضحية أي شيء على الإطلاق، لأن الهجوم يستغل البيانات الوصفية للصورة، بينما قد تكون الصورة نفسها غير ضارة، ومناسبة تمامًا ومفيدة.

كيفية الحماية من الثغرة الأمنية في أداة ExifTool

أبلغ باحثو GReAT عن الثغرة الأمنية لمؤلف أداة ExifTool، الذي سارع بدوره إلى إصدار النسخة رقم 13.50، وهي نسخة غير معرضة لثغرة CVE-2026-3102. ويجب تحديث الإصدارات 13.49 وما قبلها لإصلاح الخلل الأمني.

من الضروري للغاية التأكد من أن جميع سير عمليات معالجة الصور تستخدم النسخة المُحدّثة. ويجب عليك التحقق من أن جميع منصات إدارة الأصول، وتطبيقات تنظيم الصور، وأي برامج نصية للمعالجة الجماعية للصور تعمل على أجهزة Mac تستدعي الإصدار 13.50 من ExifTool أو أحدث، وأنها لا تحتوي على نسخة قديمة مدمجة من مكتبة ExifTool.

بطبيعة الحال، قد تحتوي أداة ExifTool – مثل أي برنامج آخر – على ثغرات أمنية إضافية من هذا النوع. ولتحصين دفاعاتك، نوصي أيضًا باتباع الإجراءات التالية:

  • عزل عملية معالجة الملفات غير الموثوقة. عالج الصور القادمة من مصادر مشبوهة على جهاز مخصص أو داخل بيئة افتراضية، مع تقييد وصولها بشكل صارم إلى أجهزة الكمبيوتر الأخرى، ووحدات تخزين البيانات، وموارد الشبكة.
  • تتبع الثغرات الأمنية باستمرار على طول سلسلة توريد البرامج. ويمكن للمؤسسات التي تعتمد على المكونات مفتوحة المصدر في سير عملها استخدام Open Source Software Threats Data Feed للتتبع.

أخيرًا، إذا كنت تعمل مع موظفين مستقلين أو متعاقدين يعملون لحسابهم الخاص (أو تسمح ببساطة بسياسة استخدام الأجهزة الشخصية)، فلا تسمح لهم بالوصول إلى شبكتك إلا إذا كان لديهم حل أمان شامل لنظام macOS مثبت على أجهزتهم.

هل ما زلت تعتقد أن نظام macOS آمن؟ حسنًا، اقرأ عن هذه التهديدات الموجهة لأجهزة Mac:

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى