El equipo de seguridad de TechSmith tomó conocimiento por primera vez de la vulnerabilidad de Ejecución Remota de Código (RCE) de Log4j el 10 de diciembre de 2021, y de inmediato comenzó una investigación.
Software y Servicios Creados por TechSmith
Log4j es una utilidad de registro para software basado en Java. A excepción de nuestras soluciones basadas en Android, TechSmith no utiliza Java para el software que creamos. No esperábamos encontrar ningún uso de Log4j, pero investigamos nuestros repositorios de código fuente y manifiestos de bibliotecas para verificar que el software y los servicios de TechSmith no utilizan ni distribuyen la biblioteca Log4j.
- TechSmith Snagit - No utiliza Log4j
- Camtasia Editor - No utiliza Log4j
- TechSmith Audiate - No utiliza Log4j
- TechSmith Capture - No utiliza Log4j
- TechSmith Knowmia - No utiliza Log4j
- Screencast.com - No utiliza Log4j
- Video Review - No utiliza Log4j
- TechSmith Assets para Camtasia Editor / Snagit - No utiliza Log4j
- TechSmith Fuse - No utiliza Log4j
- Coach's Eye y coachseye.com - Actualmente no utiliza Log4j; sin embargo, las versiones de Coach's Eye para Android lanzadas antes de 2020 pueden contener Log4j.
Uso de Log4net en Camtasia Snagit y Camtasia Editor
TechSmith Snagit para Windows antes de la versión 2022.0.2 y Camtasia Editor para Windows antes de la 2021.0.16 se distribuyeron con una versión de Log4net vulnerable a CVE-2018-1275. Esto no está relacionado con las vulnerabilidades RCE de Log4j.
Esta biblioteca era una dependencia de SDKs antiguos de Google para las salidas de Google Drive y YouTube. Explotar esta vulnerabilidad requeriría acceso de escritura al sistema de archivos local, lo que permitiría a un actor malintencionado realizar muchas otras acciones maliciosas en el equipo objetivo. No hay razón para creer que esto sea explotable de forma remota.
Los usuarios que no puedan actualizar a versiones reparadas pueden mitigar su riesgo deshabilitando la funcionalidad de Google Drive y YouTube dentro de Snagit y Camtasia Editor. Por favor, abra un ticket de soporte si necesita ayuda con esto.