macOS
Bir bilgisayar, sadece bir fotoğrafı işleyerek kötü amaçlı yazılımlara bulaşabilir mi? Özellikle de bu bilgisayar, birçok kişinin hala (yanlış bir şekilde) kötü amaçlı yazılımlara karşı doğal olarak dirençli olduğuna inandığı bir Mac ise? Görünüşe göre, ExifTool’un güvenlik açığı bulunan bir sürümünü veya bu programa dayalı olarak geliştirilmiş birçok uygulamadan birini kullanıyorsanız, cevap evet ExifTool, görüntü meta verilerini okumak, yazmak ve düzenlemek için yaygın olarak kullanılan bir açık kaynak çözümüdür. Fotoğrafçılar ve dijital arşivciler için vazgeçilmez bir araçtır ve veri analizi, dijital adli tıp ve araştırmacı gazetecilik alanlarında yaygın olarak kullanılmaktadır.
GReAT uzmanlarımız, meta verilerinde yerleşik kabuk komutları içeren kötü amaçlı görüntü dosyalarının işlenmesi sırasında tetiklenen, CVE-2026-3102 olarak izlenen kritik bir güvenlik açığı keşfettiler. macOS’ta ExifTool’un güvenlik açığı bulunan bir sürümü böyle bir dosyayı işlediğinde, komut yürütülür. Bu, bir tehdit aktörünün sistemde uzaktaki bir sunucudan yük indirmek ve çalıştırmak gibi yetkisiz eylemler gerçekleştirmesine olanak tanır. Bu yazıda, bu istismarın nasıl çalıştığını ayrıntılı olarak açıklıyor, uygulanabilir savunma önerileri sunuyor ve sisteminizin savunmasız olup olmadığını nasıl kontrol edebileceğinizi anlatıyoruz.
ExifTool nedir?
ExifTool, niş ama kritik bir ihtiyacı karşılayan ücretsiz, açık kaynaklı bir uygulamadır: dosyalardan meta verileri çıkarır ve hem bu verilerin hem de dosyaların kendilerinin işlenmesini sağlar. Meta veriler, bir dosyanın ana içeriğini açıklayan veya tamamlayan, çoğu modern dosya biçimine yerleşik bilgilerdir. Örneğin, bir müzik parçasında meta veriler sanatçının adı, şarkı adı, tür, yayın yılı, albüm kapağı vb. bilgileri içerir. Fotoğraflar için meta veriler genellikle çekim tarihi ve saati, GPS koordinatları, ISO ve enstantane hızı ayarları ile kamera markası ve modelinden oluşur. Ofis belgeleri bile yazarın adı, toplam düzenleme süresi ve orijinal oluşturma tarihi gibi meta verileri depolar.
ExifTool, desteklediği dosya biçimlerinin sayısı, işleme yeteneklerinin derinliği, doğruluğu ve çok yönlülüğü açısından sektör lideridir. Yaygın kullanım örnekleri şunlardır:
- Kaynak dosyalarda yanlış kaydedilmiş tarihleri düzeltme
- Farklı dosya biçimleri arasında meta verileri taşıma (JPG’den PNG’ye vb.)
- Profesyonel RAW formatlarından (3FR, ARW veya CR3 gibi) önizleme küçük resimleri çekme
- FLIR termal görüntüleme, LYTRO ışık alanı fotoğrafları ve DICOM tıbbi görüntüleme dahil olmak üzere niş formatlardan veri alma
- Fotoğraf/video gibi dosyalarını gerçek çekim zamanına göre yeniden adlandırma ve dosya oluşturma zamanı ve tarihini buna göre senkronize etme
- GPS koordinatlarını ayrı olarak depolanan GPS izleme günlüğüyle senkronize ederek bir dosyaya yerleşik hale getirme veya en yakın yerleşim yerinin adını ekleme
Bu liste uzar gider. ExifTool, hem bağımsız bir komut satırı uygulaması hem de açık kaynaklı bir kütüphane olarak mevcuttur, yani kodu genellikle güçlü, çok amaçlı araçların altında çalışır; örnekler arasında Exif Photoworker ve MetaScope gibi fotoğraf düzenleme sistemleri veya ImageIngester gibi görüntü işleme otomasyon araçları sayılabilir. Büyük dijital kütüphanelerde, yayınevlerinde ve görüntü analizi şirketlerinde ExifTool, genellikle otomatik modda, şirket içi uygulamalar ve özel komut dosyaları tarafından tetiklenerek kullanılır.
CVE-2026-3102 nasıl çalışır?
Bu güvenlik açığını istismar etmek için saldırganın belirli bir şekilde bir görüntü dosyası oluşturması gerekir. Görüntünün kendisi herhangi bir şey olabilirken, istismar meta verilerde yatmaktadır; özellikle DateTimeOriginal alanı (oluşturulma tarihi ve saati), geçersiz bir biçimde kaydedilmelidir. Tarih ve saate ek olarak, bu alan kötü amaçlı kabuk komutları içermelidir. ExifTool’un macOS’ta verileri işleme biçimi nedeniyle, bu komutlar yalnızca iki koşul yerine getirildiğinde çalışır:
- Uygulama veya kitaplık macOS üzerinde çalışıyor
- -n (veya –printConv) bayrağı etkinleştirilmiştir. Bu mod, ek işlem yapmadan makine tarafından okunabilir verileri olduğu gibi çıkarır. Örneğin, -n modunda kamera yönelim verileri basitçe ve açıklanamayan bir şekilde “altı” olarak çıkarılırken, ek işlemlerle daha okunabilir hale gelir ve “90 CW döndürülmüş” olarak gösterilir. Bu “insan tarafından okunabilirlik”, güvenlik açığının istismar edilmesini önler.
Hedefli bir saldırı için nadir görülen ancak hiçbir şekilde fantastik olmayan bir senaryo şöyle olabilir: bir adli tıp laboratuvarı, bir medya editörlük ofisi veya yasal veya tıbbi belgeleri işleyen büyük bir kuruluş, ilgilenilen bir dijital belge alır. Bu, sansasyonel bir fotoğraf veya yasal bir talep olabilir; yem, kurbanın iş alanına bağlıdır. Şirkete giren tüm dosyalar, dijital varlık yönetimi (DAM) sistemi aracılığıyla sıralanır ve kataloglanır. Büyük şirketlerde bu işlem otomatikleştirilebilir; bireyler ve küçük firmalar ise gerekli yazılımı manuel olarak çalıştırır. Her iki durumda da, ExifTool kütüphanesi bu yazılımın altında kullanılmalıdır. Kötü amaçlı fotoğrafın tarihi işlenirken, işlemenin yapıldığı bilgisayara bir Truva atı veya bilgi hırsızı bulaşır ve bu yazılım, saldırıya uğrayan cihazda depolanan tüm değerli verileri çalabilir. Bu esnada, saldırı görselin meta verilerini kullanırken, görselin kendisi zararsız, tamamen uygun ve kullanılabilir olabileceğinden, kurban hiçbir şey fark etmeyebilir.
ExifTool güvenlik açığına karşı nasıl korunulur?
GReAT araştırmacıları, bu güvenlik açığını ExifTool’un yazarına bildirdi. Yazar, CVE-2026-3102’ye karşı dayanıklı olan 13.50 sürümünü hemen yayınladı. 13.49 ve önceki sürümler, bu kusuru gidermek için güncellenmelidir.
Tüm fotoğraf işleme iş akışlarının güncellenmiş sürümü kullandığından emin olmak çok önemlidir. Mac’lerde çalışan tüm varlık yönetimi platformlarının, fotoğraf düzenleme uygulamalarının ve toplu görüntü işleme komut dosyalarının ExifTool sürüm 13.50 veya üstünü çağırdığını ve ExifTool kitaplığının yerleşik bir kopyasını içermediğini doğrulamalısınız.
Doğal olarak, ExifTool da diğer yazılımlar gibi bu tür ek güvenlik açıkları içerebilir. Savunmanızı güçlendirmek için aşağıdakileri de öneririz:
- Güvenilmeyen dosyaların işlenmesini izole edin. Şüpheli kaynaklardan gelen görüntüleri, diğer bilgisayarlara, veri depolama alanlarına ve ağ kaynaklarına erişimi sıkı bir şekilde sınırlayarak, özel bir makinede veya sanal bir ortamda işleyin.
- Yazılım tedarik zinciri boyunca güvenlik açıklarını sürekli olarak izleyin. İş akışlarında açık kaynak bileşenlere güvenen kuruluşlar, Open Source Software Threats Data Feed izleme için kullanabilir.
Son olarak, serbest çalışanlar veya bağımsız yüklenicilerle çalışıyorsanız (veya sadece BYOD’ye izin veriyorsanız), yalnızca kapsamlı bir macOS güvenlik çözümü yüklemiş olanların ağınıza erişmesine izin verin.
Hala macOS’un güvenli olduğunu mu düşünüyorsunuz? Ardından bu Mac tehditleri hakkında bilgi edinin:
