Avoimen lähdekoodin videotranskooderisovelluksen Handbrake kehittäjät ovat julkaisseet a turvallisuusvaroitus Mac-käyttäjille sen jälkeen, kun ohjelmistoa isännöivä peililatauspalvelin hakkeroitiin.
Varoitus annettiin lauantaina sen jälkeen, kun havaittiin, että alkuperäinen HandBrake-1.0.7.dmg-asennustiedosto peilipalvelimella download.handbrake.fr oli korvattu haitallisella tiedostolla.
Palvelin on suljettu tutkinnan vuoksi, mutta kehittäjät varoittavat, että käyttäjillä, jotka latasivat ohjelmiston palvelimelta 2. toukokuuta kello 14.30 UTC ja 6. toukokuuta klo 11.00 UTC välillä, on 50/50 todennäköisyys, että heidän järjestelmänsä saa tartunnan. troijalainen. 'Jos näet prosessin nimeltä 'Activity_agent' OS X Activity Monitor -sovelluksessa, olet saanut tartunnan', lue varoitus.
Haittaohjelman poistamiseksi tartunnan saaneesta tietokoneesta käyttäjien on avattava Terminal-sovellus ja suoritettava seuraavat komennot:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- jos ~/Library/VideoFrameworks/ sisältää proton.zip-tiedoston, poista kansio
Käyttäjien tulee sitten poistaa järjestelmästään kaikki Handbrake.app-asennukset. Ylimääräisenä turvallisuussuosituksena käyttäjien tulee myös vaihtaa kaikki salasanat, jotka voivat olla heidän OSX KeyChainissaan tai missä tahansa selaimen salasanavarastossa.
Kyseessä oleva haittaohjelma on uusi versio OSX.PROTONista, Mac-pohjaisesta etäkäyttötroijalaisesta, joka antaa hyökkääjälle pääkäyttäjän oikeudet. Apple päivitti macOS-tietoturvaohjelmistonsa XProtect helmikuussa suojautuakseen alkuperäistä Proton-haittaohjelmia vastaan. Apple käynnisti prosessin XProtect-määritelmien päivittämiseksi lauantaina, ja päivityksen pitäisi jo ilmestyä koneille äänettömästi ja automaattisesti.
Käsijarrun käyttäjien tulee huomioida, että hakkerointi ei vaikuttanut ensisijaiseen latauspeiliin ja käsijarrun verkkosivustoon. Lataukset sovelluksen sisäänrakennetun päivityksen 1.0 tai uudemman kautta eivät myöskään vaikuta, koska ne on vahvistettu DSA-allekirjoituksella, eivätkä ne asennu, jos ne eivät läpäise. Käyttäjien, joilla on käsijarru 0.10.5 tai aikaisempi ja jotka käyttivät sovelluksen sisäänrakennettua päivitysohjelmaa, tulee kuitenkin tarkistaa järjestelmänsä, koska näissä versioissa ei ole vahvistusominaisuutta.
Tarkastelun vuoksi HandBrake.dmg-tiedostot, joissa on seuraavat tarkistussummat, ovat saastuneet:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd30976c42bd30b274
(Kiitos, Alfonso!)
Tunnisteet: tietoturva , haittaohjelmat
Suosittu Viestiä