Ernstig veiligheidslek in programma Handbrake!

https://forum.handbrake.fr/viewtopic.php?f=33&t=36364

Cheers

enkel als je het tussen 2 mei en 6 mei hebt gedownload

Oepss dan moet ik zo ff kijken, want ik heb hem van de week pas geïnstalleerd.

Ik denk dat ik al dit soort handige apps maar eens ga verwijderen van mijn systeem. Ze zijn veel te populair en worden door veel te veel mensen gebruikt om gratis te zijn. Alleen daarom zijn ze al continu een target voor criminelen en moet je maar vertrouwen op de kwaliteit van één of twee personen. Dat is gewoon niet meer van deze tijd.

  • HandBrake
  • VLC
  • Transmission

“If you see a process called “Activity_agent” in the OSX Activity Monitor application. You are infected.”

Pff bestand niet aangetroffen :smiley:

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059549 time=1494146959]…en moet je maar vertrouwen op de kwaliteit van één of twee personen…[/quote]Dat is onzin. De praktijk leert dat het gevaar vooral schuilt in de apps en diensten van de grote jongens.

Die paar nerds die Handbrake op dagelijkse basis gebruiken is feitelijk te verwaarlozen.

Bovendien was alleen de besmette versie aanwezig op een Mirror server.

Meer info, inclusief wat je moet doen als je besmet bent om eraf te komen:
https://www.macobserver.com/news/psa-video-converter-handbrake-compromised-malware/

@Shmoo, als je er zo over denkt, dan moet je Gatekeeper op de hoogste veiligheidsstand zetten en alleen App-store Apps gebruiken. Maar zelfs dan ben je niet 100% veilig.

Dat zou ik ook meteen doen wanneer Apple hun developers fatsoenlijk gaat behandelen. Ik heb niets tegen gesloten systemen wanneer het op een goede manier gedaan wordt zoals bij iOS… Feit is wel, dat wanneer je dat nu activeert op je Mac sluit je je zelf af van de beste apps die er te koop zijn en dat moet eerst veranderen.

Voor nu is het gewoon zaak om bovenstaande apps van mijn systeem te mieteren want ik ga niet wachten op het moment dat het een keer echt raak is via dit soort amateuristische onzin dat eigenlijk alleen maar op je systeem staat omdat het gratis is en iedereen het gebruikt. Verder heb je geen motivatie om bovenstaande software te gebruiken boven betalende alternatieven.

Dit is al de tweede keer dat ik schrik van zo’n bericht. Ik had vorige week HandBrake geüpdatet via de ingebouwde installer gelukkig. Een tijd geleden had ik precies hetzelfde aan de hand met Transmission. Ik heb al die poppenkast niet nodig over de rug van gratis.

Via de buren. Malwarebytes heeft zich al 'bewapend":
https://forums.malwarebytes.com/topic/200491-handbrake-question/

Ik heb de suggestie om Malwarebytes te gebruiken opgenomen in het artikel op de voorpagina.

@Shmoo Hoe vaak zie ik niet dat er een kritische update is voor MS Office of voor Adobe producten, ook commerciële producten zijn helaas niet veilig. Ik vind dat de mensen achter Handbrake dit verantwoordelijk en goed hebben aangepakt, geen reden voor mij om Handbrake niet meer te gebruiken.

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059610 time=1494166790]…Ik heb al die poppenkast niet nodig over de rug van gratis. [/quote]Bijt je daar lekker in vast, en betaal voortaan gewoon voor je poppenkast.

Het is natuurlijk een veel fijner idee dat je in ieder geval hebt betaald voor iets wat gehackt blijkt te zijn.

[quote=Franky Mac url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059773 time=1494235478]@Shmoo Hoe vaak zie ik niet dat er een kritische update is voor MS Office of voor Adobe producten, ook commerciële producten zijn helaas niet veilig. Ik vind dat de mensen achter Handbrake dit verantwoordelijk en goed hebben aangepakt, geen reden voor mij om Handbrake niet meer te gebruiken.
[/quote]

Dat is heel iets anders!

Een fout in je broncode of open source code dat je gebruikt in je broncode is heel iets anders dan dat hackers je wachtwoord ‘raden’ van je download server en dan een andere download aanbieden uit jouw naam… Dit is beneden elk niveau. Ook dat aanbieden van je software op 28000 plaatsen via Mirrors en wat niet allemaal. Dat moet je als developer helemaal niet willen in 2017.

Dit soort dingen zijn gewoon totaal niet nodig en amateuristisch.

Wat zijn goede alternatieven voor Handbrake die wel in de Appstore te vinden zijn?

Alison

Die zijn er eigenlijk niet. Er is wel het enigszins gedateerde FFMpegX, maar ook dat is niet via de AppleStore verkrijgbaar en mist de eenvoudige interface.

In de comments op het nieuwsartikel noemde iemand de app Smart Converter. Geen idee of dat in de App Store te vinden is.

Ik denk dat globaal gezien al dit soort appjes wel hetzelfde doen en dat er niet veel verschil in kwaliteit zit tussen alles dat je kunt downloaden en of kopen. Eerder in gebruikersgemak en feeling/emotie valt veel te winnen. Het converteren van een filmbestand lijkt mij geen hogere wiskunde, dat kun je (bepaalde mensen) waarschijnlijk ook via de Terminal doen en het macOS laten afhandelen.

Persoonlijk denk ik dat de meeste mensen HandBrake gebruiken omdat iedereen het gebruikt en het in de afgelopen 300 jaar overal is aanbevolen door iedereen want het is was gratis en waarom zou je betalen voor iets dat gratis is het perfect functioneert. Je voegt een filmpje toe, druk op de sidebar op iPad, iPhone of Apple TV en druk daarna op start. Veel eenvoudiger dan dat kun je het niet maken, denk ik. Pas wanneer je echt naar de geavanceerde functies en mogelijkheden gaat kijken dan zal je mogelijk verschillen gaan zien tussen al dit soort apps maar ik denk niet dat veel mensen daar verstand van hebben tenzij je werkzaam bent met video en al dat soort poespas.

In de Mac App Store is vooral dit het niveau.

Smart Converter die @koen noemt heb ik ook tussen mijn ‘aankopen’ staan dus ga ik deze maar weer installeren en gebruiken. Kan mij niet herinneren dat deze slecht was maar ik ben HandBrake gaan gebruiken omdat iedereen het deed. Foute keus dus, achteraf.

Waar heb je gelezen dat het een paswoord hack was? Het kan ook een probleem in de server of cms software zijn. Er waren slechts twee mirrors, veel sites hebben hun content op meerdere servers. Ik vind je reactie paniekvoetbal.

Bedankt voor de informatie!

Alison

Zet het voor de gein nog eens op een rijtje. :slight_smile: Allemachtig!!
Hoeveel woorden heb je nodig om aan te tonen dat je vind dat die gratis apps gemeden moeten worden.

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059549 time=1494146959]Ik denk dat ik al dit soort handige apps maar eens ga verwijderen van mijn systeem. Ze zijn veel te populair en worden door veel te veel mensen gebruikt om gratis te zijn. Alleen daarom zijn ze al continu een target voor criminelen en moet je maar vertrouwen op de kwaliteit van één of twee personen. Dat is gewoon niet meer van deze tijd.

  • HandBrake
  • VLC
  • Transmission[/quote]

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059610 time=1494166790]Dat zou ik ook meteen doen wanneer Apple hun developers fatsoenlijk gaat behandelen. Ik heb niets tegen gesloten systemen wanneer het op een goede manier gedaan wordt zoals bij iOS… Feit is wel, dat wanneer je dat nu activeert op je Mac sluit je je zelf af van de beste apps die er te koop zijn en dat moet eerst veranderen.

Voor nu is het gewoon zaak om bovenstaande apps van mijn systeem te mieteren want ik ga niet wachten op het moment dat het een keer echt raak is via dit soort amateuristische onzin dat eigenlijk alleen maar op je systeem staat omdat het gratis is en iedereen het gebruikt. Verder heb je geen motivatie om bovenstaande software te gebruiken boven betalende alternatieven.

Dit is al de tweede keer dat ik schrik van zo’n bericht. Ik had vorige week HandBrake geüpdatet via de ingebouwde installer gelukkig. Een tijd geleden had ik precies hetzelfde aan de hand met Transmission. Ik heb al die poppenkast niet nodig over de rug van gratis. [/quote]

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059803 time=1494241107]Dat is heel iets anders!

Een fout in je broncode of open source code dat je gebruikt in je broncode is heel iets anders dan dat hackers je wachtwoord ‘raden’ van je download server en dan een andere download aanbieden uit jouw naam… Dit is beneden elk niveau. Ook dat aanbieden van je software op 28000 plaatsen via Mirrors en wat niet allemaal. Dat moet je als developer helemaal niet willen in 2017.

Dit soort dingen zijn gewoon totaal niet nodig en amateuristisch. [/quote]

[quote=Shmoo url=https://www.onemorething.nl/community/topic/ernstig-veiligheidslek-in-programma-handbrake/#post-3059865 time=1494250026]Ik denk dat globaal gezien al dit soort appjes wel hetzelfde doen en dat er niet veel verschil in kwaliteit zit tussen alles dat je kunt downloaden en of kopen. Eerder in gebruikersgemak en feeling/emotie valt veel te winnen. Het converteren van een filmbestand lijkt mij geen hogere wiskunde, dat kun je (bepaalde mensen) waarschijnlijk ook via de Terminal doen en het macOS laten afhandelen.

Persoonlijk denk ik dat de meeste mensen HandBrake gebruiken omdat iedereen het gebruikt en het in de afgelopen 300 jaar overal is aanbevolen door iedereen want het is was gratis en waarom zou je betalen voor iets dat gratis is het perfect functioneert. Je voegt een filmpje toe, druk op de sidebar op iPad, iPhone of Apple TV en druk daarna op start. Veel eenvoudiger dan dat kun je het niet maken, denk ik. Pas wanneer je echt naar de geavanceerde functies en mogelijkheden gaat kijken dan zal je mogelijk verschillen gaan zien tussen al dit soort apps maar ik denk niet dat veel mensen daar verstand van hebben tenzij je werkzaam bent met video en al dat soort poespas.

In de Mac App Store is vooral dit het niveau.

Smart Converter die @koen noemt heb ik ook tussen mijn ‘aankopen’ staan dus ga ik deze maar weer installeren en gebruiken. Kan mij niet herinneren dat deze slecht was maar ik ben HandBrake gaan gebruiken omdat iedereen het deed. Foute keus dus, achteraf.
[/quote]