Compass Security AG hat Schlupfloch in „Camtasia Studio“ gefunden

Die Compass Security AG findet als IT-Sicherheits-Dienstleister regelmäßig bisher unbekannte Schwachstellen. Der Spezialist leitet sie an den Hersteller weiter, damit dieser reagieren und ein Patch oder Fix zur Verfügung stellen kann.

Im Fall von „Camtasia Studio“ – ein Desktop-Camcorder zum Abfilmen des Bild¬schirms – handelt es sich um eine Sicherheitslücke, die Cross Site Scripting (XSS) zulässt. XSS ist eine Angriffsart, die auf Web-Anwendungen gestartet wird, um beispielsweise an sensible Benutzerdaten zu gelangen.

Problem erkannt
Michael Schmidt von Compass hatte den Auftrag, Flash-Videos, die mit „Cam¬tasia Studio“ generiert wurden, auf einer Kunden-Website zu analysieren. Er sollte prüfen, ob diese sicher sind. Die Security-Analyse brachte die Schwach¬stellen hervor. Durch Ausnutzen derselben war der Spezialist in der Lage, diverse Manipulationen vorzu¬nehmen: Er konnte Texte im Flashvideo anpassen, Java Script Code im Context der Website ausführen und den Benutzer auf verschie¬dene URLs umleiten.

Der Experte gibt an, dass eine fehlerhafte Applikation einer sicheren Web-Anwendung erheblichen Schaden zufügen könne. Die aufgedeckte Sicherheits¬lücke sei signifikant. Betroffen davon seien viele Flash-Anwendungen, die gar keine Business-Logik enthalten, sondern lediglich das Look & Feel einer Seite auf¬peppen.
Problem gebannt
Der Hersteller TechSmith hat umgehend auf den Hinweis von Compass reagiert und ein Patch von „Camtasia Studio“ veröffentlicht. Somit ist die Sicherheitslücke geschlossen. Weitere Informationen zur Schwachstelle stehen unter folgendem Link auf der TechSmith-Website bereit:

http://www.techsmith.com/security/bulletins/B2_ConfigurationManipulationinFlashSWFFiles.asp

Zeichenzahl: 2.399