L'équipe de sécurité de TechSmith a pris connaissance de la vulnérabilité d'exécution de code à distance (RCE) Log4j le 10 décembre 2021 et a immédiatement commencé une enquête.
Logiciels et services créés par TechSmith
Log4j est un utilitaire de journalisation pour les logiciels basés sur Java. À l'exception de nos solutions basées sur Android, TechSmith n'utilise pas Java pour les logiciels que nous créons. Nous ne nous attendions pas à trouver une utilisation de Log4j, mais nous avons examiné nos dépôts de code source et les manifestes de bibliothèques pour vérifier que les logiciels et services de TechSmith n'utilisent pas ni ne distribuent la bibliothèque Log4j.
- TechSmith Snagit - N'utilise pas Log4j
- Camtasia Editor - N'utilise pas Log4j
- TechSmith Audiate - N'utilise pas Log4j
- TechSmith Capture - N'utilise pas Log4j
- TechSmith Knowmia - N'utilise pas Log4j
- Screencast.com - N'utilise pas Log4j
- Video Review - N'utilise pas Log4j
- TechSmith Assets pour Camtasia Editor / Snagit - N'utilise pas Log4j
- TechSmith Fuse - N'utilise pas Log4j
- Coach's Eye et coachseye.com - N'utilisent pas actuellement Log4j ; cependant, les versions de Coach's Eye Android publiées avant 2020 peuvent contenir Log4j.
Utilisation de Log4net dans Camtasia Snagit et Camtasia Editor
TechSmith Snagit pour Windows avant la version 2022.0.2 et Camtasia Editor pour Windows avant la version 2021.0.16 étaient distribués avec une version de Log4net vulnérable à la CVE-2018-1275. Cela n'est pas lié aux vulnérabilités RCE de Log4j.
Cette bibliothèque était une dépendance d'anciens SDK Google pour les sorties Google Drive et YouTube. Exploiter cette vulnérabilité nécessiterait un accès en écriture au système de fichiers local, ce qui permettrait à un acteur malveillant d'engager de nombreuses autres actions malveillantes sur l'ordinateur cible. Il n'y a aucune raison de croire que cela soit exploitable à distance.
Les utilisateurs qui ne peuvent pas mettre à jour vers des versions corrigées peuvent réduire leur risque en désactivant les fonctionnalités Google Drive et YouTube dans Snagit et Camtasia Editor. Veuillez ouvrir un ticket de support si vous avez besoin d'aide à ce sujet.