Das Sicherheitsteam von TechSmith wurde erstmals am 10. Dezember 2021 auf die Log4j Remote Code Execution (RCE)-Schwachstelle aufmerksam und begann sofort mit einer Untersuchung.
Von TechSmith erstellte Software und Dienste
Log4j ist ein Protokollierungs-Utility für Java-basierte Software. Abgesehen von unseren Android-basierten Lösungen verwendet TechSmith Java nicht für die von uns erstellte Software. Wir gingen nicht davon aus, dass Log4j verwendet wird, haben jedoch unsere Quellcode-Repositories und Bibliotheksmanifeste untersucht, um zu bestätigen, dass TechSmiths Software und Dienste die Log4j-Bibliothek weder verwenden noch vertreiben.
- TechSmith Snagit – Verwendet kein Log4j
- Camtasia Editor – Verwendet kein Log4j
- TechSmith Audiate – Verwendet kein Log4j
- TechSmith Capture – Verwendet kein Log4j
- TechSmith Knowmia – Verwendet kein Log4j
- Screencast.com – Verwendet kein Log4j
- Video Review – Verwendet kein Log4j
- TechSmith Assets für Camtasia Editor / Snagit – Verwendet kein Log4j
- TechSmith Fuse – Verwendet kein Log4j
- Coach's Eye und coachseye.com – Verwendet aktuell kein Log4j; jedoch können Versionen von Coach's Eye Android, die vor 2020 veröffentlicht wurden, Log4j enthalten.
Verwendung von Log4net in Camtasia Snagit und Camtasia Editor
TechSmith Snagit für Windows vor Version 2022.0.2 und Camtasia Editor für Windows vor Version 2021.0.16 wurden mit einer Version von Log4net ausgeliefert, die für CVE-2018-1275 anfällig ist. Dies steht nicht im Zusammenhang mit den Log4j RCE-Schwachstellen.
Diese Bibliothek war eine Abhängigkeit älterer Google SDKs für Google Drive- und YouTube-Ausgaben. Die Ausnutzung dieser Schwachstelle würde Schreibzugriff auf das lokale Dateisystem erfordern, was einem Angreifer ermöglichen würde, viele andere bösartige Aktionen auf dem Zielcomputer durchzuführen. Es gibt keinen Grund zu der Annahme, dass dies aus der Ferne ausnutzbar ist.
Benutzer, die nicht auf reparierte Versionen aktualisieren können, können ihr Risiko mindern, indem sie die Google Drive- und YouTube-Funktionalität in Snagit und Camtasia Editor deaktivieren. Bitte öffnen Sie ein Support-Ticket, wenn Sie hierbei Unterstützung benötigen.