Một phát hiện gần đây đã thách thức quan niệm về khả năng miễn nhiễm của hệ thống macOS trước các mối đe dọa an ninh mạng. Các nhà nghiên cứu bảo mật đã xác định một lỗ hổng CVE nghiêm trọng, cho phép kẻ tấn công thực thi mã độc trên máy Mac chỉ bằng cách xử lý một tệp ảnh đã bị can thiệp.

Vấn đề này tập trung vào ExifTool, một tiện ích nguồn mở phổ biến dùng để đọc và chỉnh sửa metadata tệp. Do công cụ này hoạt động âm thầm trong nền của nhiều hệ thống quản lý tài sản kỹ thuật số, nền tảng pháp y và script xử lý phương tiện lớn hơn, người dùng có thể dễ bị tổn thương mà không nhận ra mình đang sử dụng nó.

Chi Tiết Lỗ Hổng ExifTool trên macOS: CVE-2026-3102

Chèn Mã Độc qua Metadata Hình Ảnh

Để khai thác lỗ hổng CVE này, kẻ tấn công ẩn các lệnh shell độc hại vào một trường metadata cụ thể của tệp ảnh, được gọi là DateTimeOriginal.

Mặc dù bản thân bức ảnh trông hoàn toàn bình thường, trường metadata này được cố tình viết ở định dạng không hợp lệ để chứa payload ẩn.

CVE-2026-3102: Lỗ Hổng Remote Code Execution (RCE)

Lỗ hổng này, được theo dõi chính thức dưới mã CVE-2026-3102, là một lỗi Remote Code Execution (RCE) kích hoạt bởi metadata hình ảnh bị thao túng.

Sự cố bảo mật này ảnh hưởng cụ thể đến các phiên bản ExifTool 13.49 trở xuống và chỉ giới hạn trong môi trường macOS.

Lỗ hổng nghiêm trọng này được phát hiện và báo cáo bởi các nhà nghiên cứu bảo mật thuộc Đội Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky.

Điều Kiện Kích Hoạt Tấn Công

Cuộc tấn công dựa vào hai điều kiện cụ thể để thực thi các lệnh:

• Thứ nhất, quá trình xử lý phải diễn ra trên hệ thống macOS.
• Thứ hai, ứng dụng hoặc thư viện ExifTool phải chạy với cờ -n (hoặc --printConv) được bật.

Chế độ dòng lệnh cụ thể này chỉ thị phần mềm xuất dữ liệu ở định dạng máy đọc được đúng như nó vốn có, cố tình bỏ qua quá trình xử lý chuẩn dịch metadata sang định dạng con người có thể đọc.

Khi các điều kiện này được đáp ứng, hệ thống sẽ bỏ qua các kiểm tra an toàn và thực thi các lệnh shell mà không qua bất kỳ cảnh báo nào.

exiftool -n -DateTimeOriginal="$(COMMAND)" image.jpg

Giải thích: Lệnh trên cho phép chèn một lệnh shell vào trường DateTimeOriginal của tệp image.jpg. Khi ExifTool xử lý tệp này với cờ -n, lệnh shell ẩn sẽ được thực thi.

Kịch Bản Tấn Công Thực Tế và Hậu Quả

Trong một kịch bản thực tế, một tổ chức truyền thông hoặc phòng thí nghiệm pháp y có thể nhận được một tài liệu mục tiêu.

Khi hệ thống tự động của họ phân loại tệp và trích xuất metadata, các lệnh ẩn sẽ âm thầm kích hoạt.

Sự xâm nhập ban đầu này cho phép kẻ tấn công tải xuống các payload thứ cấp, chẳng hạn như infostealers hoặc Trojans, xâm phạm thiết bị trong khi nạn nhân vẫn không hề hay biết về lỗ hổng CVE đang bị khai thác.

Biện Pháp Giảm Thiểu và Phòng Ngừa

Cập Nhật Bản Vá Bảo Mật ExifTool

Sau khi các nhà nghiên cứu của Kaspersky công bố thông tin, nhà phát triển của ExifTool đã nhanh chóng phát hành một bản vá bảo mật.

Các tổ chức và người dùng cá nhân phải cập nhật quy trình làm việc phần mềm của họ ngay lập tức để ngăn chặn khả năng khai thác.

• Để giảm thiểu mối đe dọa này, các tổ chức nên cập nhật ExifTool lên phiên bản 13.50 hoặc mới hơn.
• Đảm bảo không có hệ thống nào phụ thuộc vào các phiên bản nhúng dễ bị tổn thương.

Thông tin chi tiết về bản vá và khuyến nghị của Kaspersky có thể tìm thấy tại: Kaspersky Security Bulletin.

Các Thực Hành Bảo Mật Bổ Sung

Ngoài việc áp dụng bản vá bảo mật, các biện pháp sau đây là cần thiết để bảo vệ hệ thống:

• Các hình ảnh không tin cậy nên được xử lý trong môi trường cô lập, chẳng hạn như sandbox hoặc máy ảo.
• Các tổ chức nên triển khai các biện pháp bảo vệ bảo mật macOS mạnh mẽ trên tất cả các thiết bị, bao gồm cả các thiết bị BYOD (Bring Your Own Device).
• Vì ExifTool là một thành phần nguồn mở nền tảng, các tổ chức cũng phải chủ động giám sát chuỗi cung ứng phần mềm của mình.
• Sử dụng các nguồn cấp dữ liệu mối đe dọa để xác định các thư viện bên thứ ba lỗi thời hoặc dễ bị tổn thương, nhằm phòng ngừa các lỗ hổng CVE tương tự.

Việc liên tục cập nhật và giám sát là yếu tố then chốt để duy trì an ninh mạng trong bối cảnh các mối đe dọa ngày càng phát triển.