{"id":24782,"date":"2026-03-06T09:12:12","date_gmt":"2026-03-06T12:12:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24782"},"modified":"2026-03-06T09:14:17","modified_gmt":"2026-03-06T12:14:17","slug":"exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/24782\/","title":{"rendered":"Vulnerabilidade do ExifTool: como uma imagem pode infectar sistemas macOS"},"content":{"rendered":"<p>\u00c9 poss\u00edvel que um computador seja infectado por malware simplesmente ao processar uma foto? Especialmente se esse computador for um Mac, que muitos ainda acreditam, de forma equivocada, ser inerentemente resistente a malware? A resposta \u00e9 sim. Isso pode ocorrer se voc\u00ea estiver utilizando uma vers\u00e3o vulner\u00e1vel do ExifTool ou um dos in\u00fameros aplicativos desenvolvidos com base nele. O ExifTool \u00e9 uma solu\u00e7\u00e3o de c\u00f3digo aberto amplamente utilizada para ler, gravar e editar metadados de imagens. Trata-se da ferramenta de refer\u00eancia para fot\u00f3grafos e arquivistas digitais, sendo tamb\u00e9m muito empregada em an\u00e1lise de dados, per\u00edcia digital e jornalismo investigativo.<\/p>\n<p>Especialistas da nossa equipe GReAT descobriram uma vulnerabilidade cr\u00edtica, registrada como <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-3102\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2026-3102<\/a>, que \u00e9 acionada durante o processamento de arquivos de imagem maliciosos contendo comandos shell incorporados em seus metadados. Quando uma vers\u00e3o vulner\u00e1vel do ExifTool no macOS processa esse tipo de arquivo, o comando \u00e9 executado automaticamente. Isso permite que um agente malicioso realize a\u00e7\u00f5es n\u00e3o autorizadas no sistema, como baixar e executar um payload a partir de um servidor remoto. Neste post, explicamos em detalhes como esse exploit funciona, apresentamos recomenda\u00e7\u00f5es pr\u00e1ticas de defesa e mostramos como verificar se seu sistema est\u00e1 vulner\u00e1vel.<\/p>\n<h2>O que \u00e9 o ExifTool?<\/h2>\n<p>O <a href=\"https:\/\/exiftool.org\/\" target=\"_blank\" rel=\"noopener nofollow\">ExifTool<\/a> \u00e9 um aplicativo gratuito e de c\u00f3digo aberto que atende a uma necessidade espec\u00edfica, por\u00e9m cr\u00edtica: extrair metadados de arquivos e permitir o processamento tanto desses dados quanto dos pr\u00f3prios arquivos. Metadados s\u00e3o informa\u00e7\u00f5es <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-remove-metadata\/52913\/\" target=\"_blank\" rel=\"noopener nofollow\">incorporadas \u00e0 maioria dos formatos de arquivo modernos<\/a> e que descrevem ou complementam o conte\u00fado principal de um arquivo. Por exemplo, em uma faixa de m\u00fasica, os metadados incluem o nome do artista, o t\u00edtulo da m\u00fasica, o g\u00eanero, o ano de lan\u00e7amento, a arte da capa do \u00e1lbum e assim por diante. Em fotografias, normalmente incluem a data e hora do registro, as coordenadas GPS, as configura\u00e7\u00f5es de ISO e a velocidade do obturador, al\u00e9m da marca e do modelo da c\u00e2mera. At\u00e9 documentos de escrit\u00f3rio armazenam metadados, como o nome do autor, o tempo total de edi\u00e7\u00e3o e a data original de cria\u00e7\u00e3o.<\/p>\n<p>O ExifTool \u00e9 considerado o l\u00edder do setor em termos de quantidade de formatos de arquivo compat\u00edveis, al\u00e9m da profundidade, precis\u00e3o e versatilidade de suas capacidades de processamento. Entre os casos de uso mais comuns est\u00e3o:<\/p>\n<ul>\n<li>Ajustar datas se estiverem incorretamente registradas nos arquivos de origem<\/li>\n<li>Transferir metadados entre diferentes formatos de arquivo (de JPG para PNG, entre outros)<\/li>\n<li>Extrair miniaturas de pr\u00e9-visualiza\u00e7\u00e3o de formatos RAW profissionais (como 3FR, ARW ou CR3)<\/li>\n<li>Recuperar dados de formatos especializados, incluindo imagens t\u00e9rmicas da FLIR, fotos de campo de luz da LYTRO e imagens m\u00e9dicas no formato DICOM<\/li>\n<li>Renomear arquivos de foto ou v\u00eddeo com base no momento real do registro e sincronizar a data e hora de cria\u00e7\u00e3o do arquivo<\/li>\n<li>Inserir coordenadas GPS em um arquivo sincronizando-o com um log de trilha GPS armazenado separadamente ou adicionando o nome da localidade habitada mais pr\u00f3xima<\/li>\n<\/ul>\n<p>E a lista continua. O ExifTool est\u00e1 dispon\u00edvel tanto como aplicativo aut\u00f4nomo de linha de comando quanto como biblioteca de c\u00f3digo aberto, o que significa que seu c\u00f3digo frequentemente opera nos bastidores de ferramentas mais complexas e multifuncionais. Entre os exemplos est\u00e3o sistemas de organiza\u00e7\u00e3o de fotos como Exif Photoworker e MetaScope, ou ferramentas de automa\u00e7\u00e3o de processamento de imagens como ImageIngester. Em grandes bibliotecas digitais, editoras e empresas especializadas em an\u00e1lise de imagens, o ExifTool costuma ser utilizado em modo automatizado, acionado por aplicativos corporativos internos e scripts personalizados.<\/p>\n<h2>Como a CVE-2026-3102 funciona<\/h2>\n<p>Para explorar essa vulnerabilidade, um invasor precisa criar um arquivo de imagem de uma forma espec\u00edfica. A imagem em si pode ser qualquer uma; o exploit est\u00e1 nos metadados, mais precisamente no campo DateTimeOriginal (data e hora de cria\u00e7\u00e3o), que precisa estar registrado em um formato inv\u00e1lido. Al\u00e9m da data e da hora, esse campo deve conter comandos shell maliciosos. Devido \u00e0 forma espec\u00edfica como o ExifTool manipula dados no macOS, esses comandos s\u00f3 ser\u00e3o executados se duas condi\u00e7\u00f5es forem atendidas:<\/p>\n<ul>\n<li>O aplicativo ou a biblioteca estiver sendo executado no macOS<\/li>\n<li>O sinalizador -n (ou \u2013printConv) estiver habilitado. Esse modo gera dados leg\u00edveis por m\u00e1quina, sem processamento adicional. Por exemplo, no modo -n, os dados de orienta\u00e7\u00e3o da c\u00e2mera s\u00e3o exibidos simplesmente como \u201csix\u201d, enquanto, com processamento adicional, aparecem na forma mais compreens\u00edvel \u201cRotated 90 CW\u201d. Essa convers\u00e3o para uma forma \u201cleg\u00edvel por humanos\u201d impede a explora\u00e7\u00e3o da vulnerabilidade<\/li>\n<\/ul>\n<p>Um cen\u00e1rio raro, mas de forma alguma imposs\u00edvel, de ataque direcionado poderia ocorrer da seguinte maneira. Um laborat\u00f3rio forense, uma reda\u00e7\u00e3o de jornal ou uma grande organiza\u00e7\u00e3o que processe documenta\u00e7\u00e3o jur\u00eddica ou m\u00e9dica recebe um arquivo digital de interesse. Pode ser uma fotografia sensacionalista ou uma peti\u00e7\u00e3o judicial; a isca depende da \u00e1rea de atua\u00e7\u00e3o da v\u00edtima. Todos os arquivos que entram na organiza\u00e7\u00e3o passam por triagem e cataloga\u00e7\u00e3o em um sistema de gest\u00e3o de ativos digitais (DAM). Em grandes empresas, esse processo costuma ser automatizado; profissionais aut\u00f4nomos e pequenas empresas executam o software necess\u00e1rio manualmente. Em ambos os casos, a biblioteca ExifTool precisa estar sendo utilizada nos bastidores desse software. Ao processar a data da fotografia maliciosa, o computador onde o processamento ocorre \u00e9 infectado por um trojan ou um infostealer, que posteriormente pode roubar todos os dados valiosos armazenados no dispositivo comprometido. Enquanto isso, a v\u00edtima pode n\u00e3o perceber absolutamente nada, pois o ataque explora apenas os metadados da imagem, enquanto a pr\u00f3pria fotografia pode ser aparentemente inofensiva, leg\u00edtima e at\u00e9 \u00fatil.<\/p>\n<h2>Como se proteger da vulnerabilidade do ExifTool<\/h2>\n<p>Pesquisadores da equipe GReAT relataram a vulnerabilidade ao autor do ExifTool, que rapidamente lan\u00e7ou a <a href=\"https:\/\/exiftool.org\/\" target=\"_blank\" rel=\"noopener nofollow\">vers\u00e3o 13.50<\/a>, n\u00e3o suscet\u00edvel \u00e0 CVE-2026-3102. As vers\u00f5es 13.49 e anteriores devem ser atualizadas para corrigir a falha.<\/p>\n<p>\u00c9 fundamental garantir que todos os fluxos de processamento de imagens estejam utilizando a vers\u00e3o atualizada. Verifique se todas as plataformas de gest\u00e3o de ativos digitais, aplicativos de organiza\u00e7\u00e3o de fotos e quaisquer scripts de processamento em lote de imagens executados em Macs est\u00e3o habilitando o ExifTool vers\u00e3o 13.50 ou posterior, e se n\u00e3o cont\u00eam uma c\u00f3pia incorporada mais antiga da biblioteca ExifTool.<\/p>\n<p>Naturalmente, o ExifTool, como qualquer software, pode conter outras vulnerabilidades dessa mesma classe. Para refor\u00e7ar a seguran\u00e7a, recomenda-se tamb\u00e9m:<\/p>\n<ul>\n<li><strong>Isolar o processamento de arquivos n\u00e3o confi\u00e1veis.<\/strong> Processe imagens provenientes de fontes duvidosas em uma m\u00e1quina dedicada ou dentro de um ambiente virtual, limitando rigorosamente o acesso desse ambiente a outros computadores, armazenamentos de dados e recursos de rede.<\/li>\n<li><strong>Monitorar continuamente vulnerabilidades na cadeia de suprimentos de software. <\/strong>Organiza\u00e7\u00f5es que dependem de componentes de c\u00f3digo aberto em seus fluxos de trabalho podem utilizar <a href=\"https:\/\/www.kaspersky.com\/open-source-feed?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_blo_wpplaceholder________8c9c26f46d093c2c\" target=\"_blank\" rel=\"noopener nofollow\">Open Source Data Feed<\/a>\u00a0para acompanhamento.<\/li>\n<\/ul>\n<p>Por fim, se voc\u00ea trabalha com freelancers ou prestadores aut\u00f4nomos (ou permite o uso de BYOD, Bring Your Own Device), autorize o acesso \u00e0 sua rede somente se esses dispositivos tiverem uma <a href=\"https:\/\/www.kaspersky.com.br\/mac-antivirus?utm_source=affiliate&amp;icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____8523de9f697c548f\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o abrangente de seguran\u00e7a para macOS<\/a> instalada.<\/p>\n<blockquote><p>Ainda acha que o macOS \u00e9 totalmente seguro? Ent\u00e3o, vale conhecer algumas amea\u00e7as recentes direcionadas a Macs:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/\" target=\"_blank\" rel=\"noopener\"><strong>Banshee: um malware de roubo de dados que persegue usu\u00e1rios do macOS<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/macos-users-cyberthreats-2023\/22094\/\" target=\"_blank\" rel=\"noopener\"><strong>Os Macs s\u00e3o seguros? Amea\u00e7as aos usu\u00e1rios do macOS<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/share-chatgpt-chat-clickfix-macos-amos-infostealer\/24606\/\" target=\"_blank\" rel=\"noopener\"><strong>O Infostealer entrou no chat<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/airborne-wormable-zero-click-vulnerability-in-apple-airplay\/23814\/\" target=\"_blank\" rel=\"noopener\"><strong>AirBorne: Ataques a dispositivos da Apple atrav\u00e9s de vulnerabilidades no AirPlay<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/bluetooth-vulnerability-android-ios-macos-linux\/22087\/\" target=\"_blank\" rel=\"noopener\"><strong>Invas\u00e3o de Android, macOS, iOS e Linux por meio de uma vulnerabilidade do Bluetooth<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"23127\">\n","protected":false},"excerpt":{"rendered":"<p>Uma an\u00e1lise aprofundada da CVE-2026-3102, uma vulnerabilidade que representa uma amea\u00e7a potencial para qualquer pessoa que processe imagens em um Mac.<\/p>\n","protected":false},"author":312,"featured_media":24783,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1656],"tags":[218,830,160,40,77,267,3419],"class_list":{"0":"post-24782","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-ameacas","10":"tag-tips","11":"tag-macos","12":"tag-seguranca","13":"tag-tecnologia","14":"tag-vulnerabilidades","15":"tag-vulnerabilidades-de-dia-zero"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/24782\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30242\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/25319\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/13189\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30115\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/29013\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/31890\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30502\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/41398\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/14322\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/55362\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/23671\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/33247\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/30360\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/35999\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exiftool-macos-picture-vulnerability-mitigation-cve-2026-3102\/35656\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/macos\/","name":"MacOs"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/312"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24782"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24782\/revisions"}],"predecessor-version":[{"id":24787,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24782\/revisions\/24787"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24783"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}