TechSmithのセキュリティチームは、2021年12月10日にLog4jのリモートコード実行(RCE)脆弱性を初めて認識し、直ちに調査を開始しました。
TechSmithが作成したソフトウェアおよびサービス
Log4jはJavaベースのソフトウェア用のログユーティリティです。Androidベースのソリューションを除き、TechSmithは作成するソフトウェアにJavaを利用していません。Log4jの使用は見つからないと予想していましたが、TechSmithのソフトウェアおよびサービスがLog4jライブラリを使用または配布していないことを確認するために、ソースコードリポジトリとライブラリマニフェストを調査しました。
- TechSmith Snagit - Log4jは使用していません
- Camtasia Editor - Log4jは使用していません
- TechSmith Audiate - Log4jは使用していません
- TechSmith Capture - Log4jは使用していません
- TechSmith Knowmia - Log4jは使用していません
- Screencast.com - Log4jは使用していません
- Video Review - Log4jは使用していません
- TechSmith Assets for Camtasia Editor / Snagit - Log4jは使用していません
- TechSmith Fuse - Log4jは使用していません
- Coach's Eyeおよびcoachseye.com - 現在はLog4jを使用していません。ただし、2020年以前にリリースされたCoach's Eye AndroidのバージョンにはLog4jが含まれている可能性があります。
Camtasia SnagitおよびCamtasia EditorにおけるLog4netの使用
Windows版TechSmith Snagitの2022.0.2以前のバージョンおよびWindows版Camtasia Editorの2021.0.16以前のバージョンには、CVE-2018-1275に対して脆弱なLog4netのバージョンが含まれていました。これはLog4jのRCE脆弱性とは関連していません。
このライブラリは、Google DriveおよびYouTube出力用の古いGoogle SDKの依存関係でした。この脆弱性を悪用するにはローカルファイルシステムへの書き込みアクセスが必要であり、攻撃者が対象のコンピュータ上で多くの他の悪意のある行動を行う可能性があります。リモートでの悪用が可能である理由はありません。
修正済みバージョンにアップグレードできないユーザーは、SnagitおよびCamtasia Editor内のGoogle DriveおよびYouTube機能を無効にすることでリスクを軽減できます。支援が必要な場合はサポートチケットを開いてください。