Exiftool

Die Schwachstelle steckt in ExifTool, einem in Perl geschriebenen Werkzeug zum Auslesen und Bearbeiten von Metadaten in Bild- und Mediendateien. Ursache ist eine unzureichende Bereinigung von Benutzerdaten beim Verarbeiten des DjVu-Dateiformats: Beim Einlesen einer präparierten Bilddatei werden eingebettete Inhalte nicht sauber neutralisiert, sodass sie als ausführbare Anweisungen interpretiert werden. Ein Angreifer kann dadurch beliebigen Code ausführen – und zwar bereits dann, wenn ExifTool die manipulierte Datei lediglich auswertet. Es genügt also, das Opfer zum Parsen einer schädlichen Datei zu bewegen, ohne dass diese eigens geöffnet oder ausgeführt werden müsste. Das ist besonders heikel, weil ExifTool häufig im Hintergrund automatisierter Verarbeitungsketten läuft, etwa beim Upload und der Auswertung von Bildern auf Servern. Dort verarbeitet das Werkzeug fremde, nicht vertrauenswürdige Dateien – genau die Konstellation, in der dieser Angriffsweg unmittelbar greift.