Camtasia (Windows): Flash SWF ファイルにおける設定操作とクロスサイト スクリプトの脆弱性について

影響を受けるソフトウェアおよびコンポーネント 

Camtasia Studio 6.01, 6.02, 6.03 にて ExpressShow テンプレートで SWF 出力を使用して作成した Flash SWF ファイル。他のテンプレートで作成した Camtasia Studio の Flash SWF ファイルは影響を受けません。この脆弱性は FireFox, Safari, Google Chrome ブラウザにて実行される恐れがあります。 

 

脆弱性の詳細 

上記の影響を受けるソフトウェアで作成された Flash SWF ファイルを Web サイトに埋め込むと、Flash コンテンツをホスティングしている Web サイトは、SWF プレーヤーの設定操作とクロスサイト スクリプト攻撃に対して脆弱性があります。 

攻撃者はクロスサイト スクリプト攻撃が実行できるよう脆弱性を持つ Flash コンテンツに巧妙なリンクを仕掛けることができます。Webサイトへの訪問者がその Flash コンテンツを視聴した場合、訪問者の Flash プレーヤーは安全でない状態になり、潜在的に有害な動作を起こす可能性があります。 

それらの動作には Web サイトの改ざんやクッキーなどの情報を攻撃者へ送ったり、別のWeb サイトへのリダイレクトなどが含まれます。 攻撃者は SWF ファイルの設定を変更して、攻撃者が指定したテキストを表示し、任意の時間で一時停止し、攻撃者の指定した URL へリンクすることもできます。

 

対応策または防御策 

この問題に対処するためには、この記事の下部に圧縮されてある 2 つの SWF ファイルを解凍し、以下のディレクトリに保存してください。 

C:\Program Files\TechSmith\Camtasia Studio 6\Media\Studio\Swf 

すでに存在する同名のファイルを上書きするかどうかを確認するダイアログが表示されます。[はい] または [OK] をクリックして上書きしてください。ファイルが上書きされたら Camtasia を再起動して、ご自身のビデオを再度 SWF にて制作し直してください。 

上記対応策を適用後、脆弱性のある SWF ファイルを Web サイトにホスティングしているユーザーは、SWF ファイルを再制作する必要があります。新しく制作された SWF ファイルは、この脆弱性に対応済みであり脆弱性を持つ古い SWF ファイルと置き換えることができます。 

Flash コンテンツを視聴することが心配な場合、この脆弱性に影響を受けないインターネット エクスプローラーや Opera で Flash SWF ファイルを視聴することもできます。 

 

追加情報 

この脆弱性は他の TechSmith 製品にはいかなる影響も及ぼしません。Screencast.com でホスティングされているすべてのSWF ファイルはこの脆弱性の影響を受けません。Screencast.com がホスティングしている SWF ファイルに入力されるパラメーターは、この脆弱性に対応した Screencast.com サービスにより提供されています。Jing や Camtasia, Relay によって制作された SWF ファイルはこの脆弱性の影響を受けません。その他の TechSmith 製品は SWF ファイルを制作しない、または使用しません。 

 

最後に 

TechSmith はこの問題をご報告いただき、解決策を開発する際にご協力いただいた Compass Security Network Computing のMichael Schmidt に謝意を表します。 

 

 

 

 

203729788

 

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています