Schlupfloch in "Camtasia Studio" entdeckt
30. November 2009;
Michael Schmidt, Security Analyst bei Compass, hat eine Flash-Anwendung
durchleuchtet, die mit der Software „Camtasia Studio“ der Firma TechSmith erstellt wurde. Dabei ist
er auf eine Sicherheitslücke gestoßen, die Cross Site Scripting (XSS) zulässt. Diese wurde von
Compass umgehend an den Hersteller gemeldet, so dass das Leck geschlossen werden konnte.
Der Patch steht bereit.
Problem erkannt
Michael Schmidt von Compass hatte den Auftrag, Flash-Videos, die mit „Camtasia Studio“
generiert wurden, auf einer Kunden-Website zu analysieren. Er sollte prüfen, ob diese sicher sind.
Die Security-Analyse brachte die Schwachstellen hervor. Durch Ausnutzen derselben war der
Spezialist in der Lage, diverse Manipulationen vorzunehmen: Er konnte Texte im Flashvideo anpassen,
Java Script Code im Context der Website ausführen und den Benutzer auf verschie¬dene URLs umleiten.
Der Experte gibt an, dass eine fehlerhafte Applikation einer sicheren Web-Anwendung
erheblichen Schaden zufügen könne. Die aufgedeckte Sicherheitslücke sei signifikant. Betroffen
davon seien viele Flash-Anwendungen, die gar keine Business-Logik enthalten, sondern lediglich das
Look & Feel einer Seite aufpeppen.
Problem gebannt
Der Hersteller TechSmith hat umgehend auf den Hinweis von Compass reagiert und ein Patch von
„ Camtasia Studio“ veröffentlicht. Somit ist die Sicherheitslücke geschlossen. Weitere
Informationen zur Schwachstelle stehen unter folgendem Link auf der TechSmith-Website bereit:
|