Sicherheitsupdates
    • Letzte Aktualisierung:07/28/2023
      Ursprünglich veröffentlicht:07/25/2023

      Update

      Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.

      Betroffene VersionenSchwachstelleCVEStatusLösung

      Nitro Pro 13.70.4.50 und früher

      Nitro Pro v14.1.2.47 – 14.5.0.11

      Eine Sicherheitslücke in Artifex Ghostscript

      In Artifex Ghostscript, das zum Rendern und Konvertieren von Dateien verwendet wird, wurde eine Sicherheitslücke festgestellt

      CVE2023 -36664Gelöst

      Upgrade auf v13.70.7.60

      Upgrade auf v14.7.1.21 oder höher

    • Letzte Aktualisierung:03/16/2023
      Ursprünglich veröffentlicht:03/16/2023

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 70. 2und früher

      Sicherheitslücke in der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek

      In der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek, wurde eine Sicherheitslücke entdeckt.

      CVE2022 -37434GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.
      Nitro Pro13 v. 70. 2und früher

      OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“)

      OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“) Diese Schwachstelle wurde durch ein Upgrade auf OpenSSL 1.1.1 t behoben.

      CVE2023 -0286GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.
    • Letzte Aktualisierung:12/7/2022
      Ursprünglich veröffentlicht:12/7/2022

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 70. 0und früher

      Ausführung beliebiger Befehle innerhalb der Anwendung

      Es besteht eine Sicherheitslücke, bei der die Anwendung es ermöglicht, dass speziell gestaltete PDF-Dokumente beliebige Befehle innerhalb der Anwendung ausführen.

      CVE2022 -46406GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.
    • Letzte Aktualisierung:10/25/2021
      Ursprünglich veröffentlicht:10/25/2021

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 49und früher

      JavaScript local_file_path Sicherheitslücke nach Nutzung von Objekten

      Ein speziell gestaltetes Dokument kann dazu führen, dass ein Objekt, das den Pfad zu einem Dokument enthält, zerstört und später wiederverwendet wird, was zu einer Use-afterfree-Sicherheitslücke führt, die zur Ausführung von Code im Kontext der Anwendung führen kann. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.

      CVE2021 -21796
      GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 49und früher

      Doppelte kostenlose Sicherheitslücke in JavaScript TimeoutObject

      Ein speziell gestaltetes Dokument kann dazu führen, dass ein Verweis auf ein Timeout-Objekt an zwei verschiedenen Orten gespeichert wird. Wenn das Dokument geschlossen ist, wird die Referenz zweimal veröffentlicht. Dies kann dazu führen, dass Code im Kontext der Anwendung ausgeführt wird. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.

      CVE2021 -21797
      GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:9/10/2021
      Ursprünglich veröffentlicht:9/10/2021

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 47und früher

      Sicherheitslücke beim4 Lognet Parsing
      Apache Log4 Net-Versionen vor2. 0. 10 deaktivieren Sie keine externen XML-Entitäten, wenn Sie4 Log-Netzkonfigurationsdateien analysieren. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die vom Angreifer kontrollierte4 Log-Net-Konfigurationsdateien akzeptieren.

      Wichtig: Um diesen Fix anzuwenden, führen Sie bitte ein Upgrade auf die Version der iManage Desktop-Anwendung durch10. 5oder neuer. Um zu verhindern, dass Dokumente schreibgeschützt werden, stellen Sie bitte sicher, dass alle Dokumente, die auf demselben Computer geöffnet wurden, geschlossen und EINGECHECKT sind.

      CVE2018 -1285GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 47und früherJavaScript-Dokument. FlattenPages
      Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Ausführung von Code im Kontext der Anwendung führen kann.
      CVE2021 -21798GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:9/17/2020
      Ursprünglich veröffentlicht:9/1/2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 19und früherGanzzahlüberlauf beim Analysieren von Objektstreams
      Beim Öffnen eines speziell erstellten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherfehler verursacht.
      CVE2020 -6113GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 22und früherApp.LaunchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.
      CVE2020 -25290GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:9/1/2020
      Ursprünglich veröffentlicht:9/1/2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      Nitro Pro13 v. 22. 0. 414und früherXRefTable Entry Fehlendes Objekt — Verwenden Sie After Free
      Beim Öffnen eines speziell erstellten, fehlerhaften PDF-Dokuments besteht eine Sicherheitslücke, die zu einem Zustand führen kann, in dem es nach Gebrauch nicht mehr verwendet werden kann.
      CVE2020 -6115GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 22. 0. 414und früherIndiziertes ColorSpace-Rendering — Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.
      CVE2020 -6116GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 22. 0. 414und früherICC-basiertes ColorSpace-Rendering — Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.
      CVE2020 -6146GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      Nitro Pro13 v. 22. 0. 414und früherApp.LaunchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.
      KeineGelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:8/2/2020
      Ursprünglich veröffentlicht:8/2/2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung

      Nitro Pro12 v. 16. 3. 574und früher

      Nitro Sign ist nicht betroffen

      Digitale Signatur „Schattenangriffe“
      Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass zuvor ausgeblendeter Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
      Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.
      KeineGelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:5/8/2020
      Ursprünglich veröffentlicht:5/8/2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVEStatusLösung
      13. 9. 1. 155und früherJavaScript-XML-Fehlerbehandlung — Zugriff auf einen nicht initialisierten Zeiger
      Beim Öffnen eines speziell erstellten PDF-Dokuments besteht eine Sicherheitslücke, die zu einem uninitialisierten Speicherzugriff führen kann, was zu einer möglichen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.
      CVE2020 -6093GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      13. 9. 1. 155und früherVerschachtelte PDF-Seiten — Verwenden Sie After Free
      Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.
      CVE2020 -6074GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
      13. 13. 2. 242und früherPDF-Musterobjekt — Integer Overflow oder Wraparround
      Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.
      CVE2020 -6092GelöstFühren Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
    • Letzte Aktualisierung:3/9/2020
      Ursprünglich veröffentlicht:3/9/2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      13. 9und früherHaufenweise Korruption npdf.dll
      Beim Öffnen eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
      Sicherheitslücke durch Beschädigung von Heaps führen kann, wodurch Speicherinhalte offengelegt werden können.
      CVE2020 -10222
      13. 9und früherHeap Corruption JBIG2 DecodeStream Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
      Sicherheitslücke führen kann, die Speicherinhalte offenlegen kann.
      CVE2020 -10223

      Lösung

      Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13. 13. 2. 242Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Letzte Aktualisierung:1/9/2020
      Ursprünglich veröffentlicht:10/31/2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      13. 6und früherHeap Corruption JPEG2000 SsizDepth Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
      und zum Absturz der Anwendung führen kann. Die
      Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.
      CVE2019 -5045
      13. 6und früherHeap Corruption JPEG2000 YTSiz Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
      und zum Absturz der Anwendung führen kann. Die
      Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.
      CVE2019 -5046
      13. 6und früherVerwenden Sie After Free CharProcs Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach Gebrauch
      nicht verwendet werden kann und die Anwendung abstürzt.
      CVE2019 -5047
      13. 6und früherHeap Corruption ICC-basierter Farbraum Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
      und zum Absturz der Anwendung führen kann. Die
      Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.
      CVE2019 -5048
      13. 6und früherHeap Corruption Page Kids Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
      und zum Absturz der Anwendung führen kann. Die
      Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.
      CVE2019 -5050
      13. 8und früherNach der Länge des kostenlosen Streams verwenden Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach
      dem kostenlosen Gebrauch verwendet wird und die Anwendung abstürzt.
      CVE2019 -5053

      Lösung

      Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13. 9. 1. 155Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Letzte Aktualisierung:12/20/2019
      Ursprünglich veröffentlicht:12/20/2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      12. 0. 0. 112und früherJBIG2 Decode Out-of-Bounds Read
      Vulnerability Beim Öffnen eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim
      Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.
      CVE2019 -19817
      12. 0. 0. 112und früherJBIG2 Decode Out-of-Bounds Read
      Vulnerability Beim Öffnen eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim
      Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.
      CVE2019 -19818
      12. 0. 0. 112und früherNullzeiger-Deference-Schwachstelle von JBIG2 Global Beim Öffnen
      eines speziell gestalteten
      bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
      Nullzeiger-Deference-Schwachstelle und zum Absturz der Anwendung führen kann.
      CVE2019 -19819
      12. 17. 0. 584und früherTemporäre Datei debug.log
      Unter bestimmten Bedingungen (z. B. eine abgelaufene Testversion), eine temporäre
      Datei" debug.log" kann im Nitro
      Pro-Arbeitsverzeichnis erstellt werden. Diese Datei debug.log kann nach dem Schließen
      der Anwendung auf normale Weise manipuliert werden.
      CVE2019 -19858

      Lösung

      Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13. 8. 2. 140Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Letzte Aktualisierung:10/18/2019
      Ursprünglich veröffentlicht:10/18/2019

      Update

      Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Sicherheitslücken zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, haben wir die Richtigkeit der Behauptungen bewertet, den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung bewertet und (basierend auf unseren bestehenden proaktiven Verfahren zur Schwachstellenanalyse und -behandlung) die Sicherheitslücken dann in unsere Warteschlange zur Behebung gestellt.

      Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen können Sie sich an security@gonitro.com wenden.

    • Letzte Aktualisierung:11/17/2017
      Ursprünglich veröffentlicht:11/17/2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      11. 0. 6und davor
      10. 5. 9. 14und früher
      In der Funktion doc.SaveAs besteht eine Sicherheitslücke, die von einer speziell gestalteten PDF-Datei ausgenutzt werden
      könnte, was
      möglicherweise dazu führen kann, dass eine Datei außerhalb
      des vorgesehenen Pfads geschrieben wird.
      CVE2017 -7442
      11. 0. 6und davor
      10. 5. 9. 14und früher
      In der Funktion doc.SaveAs besteht eine Sicherheitslücke, die durch eine speziell gestaltete PDF-Datei ausgenutzt werden
      könnte, was
      möglicherweise dazu führen kann, dass eine URL in
      Verbindung mit einer Sicherheitswarnung gestartet wird.
      CVE2017 -7442

      Lösung

      Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

      Aktualisierte VersionVerfügbarkeit
      11. 0. 8. 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
      10Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Letzte Aktualisierung:9/27/2017
      Ursprünglich veröffentlicht:9/27/2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      11. 0. 5. 271und davor
      10. 5. 9. 14und früher
      Eine Sicherheitslücke beim Schreiben im Speicher, die potenziell
      ausgenutzt werden könnte, wenn eine speziell gestaltete PDF-Datei mit
      einem bestimmten Count-Feld geöffnet wird, was zu Speicherbeschädigung und
      einem Absturz führt. 
      CVE steht noch aus
      11. 0. 5. 271und davor
      10. 5. 9. 14und früher
      Es besteht eine Use-After-Free-Sicherheitslücke, die potenziell ausgenutzt
      werden kann, wenn eine speziell gestaltete PDF-Datei geöffnet wird,
      die ein fehlerhaftes2000 JPEG-Bild enthält, was zu
      Speicherbeschädigung und einem Absturz führt.
      CVE steht noch aus

      Lösung

      Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

      Aktualisierte VersionVerfügbarkeit
      11. 0. 8. 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
      10Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Ursprünglich veröffentlicht:7/21/2017

      Letzte Aktualisierung:8/25/2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      11. 0. 3. 173und davor
      10. 5. 9. 14und früher
      Eine Sicherheitslücke beim Schreiben außerhalb des gebundenen Speichers, die
      potenziell ausgenutzt werden könnte, wenn eine speziell gestaltete
      PDF-Datei geöffnet wird, was zu Speicherbeschädigung und einem Absturz führt.
      CVE2017 -2796
      11. 0. 3. 173und davor
      10. 5. 9. 14und früher
      Eine Heap-Overflow-Schwachstelle, die möglicherweise
      ausgenutzt werden könnte, wenn eine speziell gestaltete
      PCX-Image-Datei geöffnet wird, was zu einer Speicherbeschädigung und einem Absturz führen könnte.
      CVE2017 -7950

      Lösung

      Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

      Aktualisierte VersionVerfügbarkeit
      11. 0. 8. 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
      10Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Ursprünglich veröffentlicht:2/3/2017

      Letzte Aktualisierung:8/25/2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

      Betroffene VersionenSchwachstelleCVE
      11. 0. 3. 134und davor
      10. 5. 9. 9und früher
      Eine speziell gestaltete PDF-Datei kann möglicherweise zu
      Speicherfehlern führen, die zu einem Absturz führen.
      CVE-2016 -8709
      CVE-2016 -8713
      11. 0. 3. 134und davor
      10. 5. 9. 9und früher
      Eine potenzielle Sicherheitslücke bei der Remote-Codeausführung in der
      PDF-Parsing-Funktionalität von Nitro Pro.
      CVE2016 -8711

      Lösung

      Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

      Aktualisierte VersionVerfügbarkeit
      11. 0. 8. 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
      10. 5. 9. 14+Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Nitro Security Vulnerability& Bug Bounty Policy

      Richtlinie

      Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Die Sicherheit von Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir freuen uns über den Beitrag externer Sicherheitsforscher und freuen uns darauf, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

      Prämien

      Nitro belohnt nach eigenem Ermessen akzeptierte Schwachstellenberichte. Unsere Mindestprämie ist eine Amazon-Geschenkkarte im Wert von $25 USD. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität des Berichts variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar, ob eine Prämie gewährt werden sollte, festzulegen.

      Anwendungen im Geltungsbereich

      Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen kommen für das Bounty-Programm in Frage. Darüber hinaus sind auch alle cloudbasierten Partnerplattformanwendungen berechtigt (z. B. Nitro File Actions). Wir können immer noch alles belohnen, was erhebliche Auswirkungen auf unsere gesamte Sicherheitslage hat. Deshalb empfehlen wir Ihnen, solche Sicherheitslücken über dieses Programm zu melden.

      &Voraussetzungen für die Meldung von Sicherheitslücken

      Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Entdeckung und Meldung von Sicherheitslücken zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:

      • Teilen Sie uns das Sicherheitsproblem ausführlich mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Sicherheitslücke, die leicht verständlich sind, Informationen über die tatsächlichen und potenziellen Auswirkungen der Sicherheitslücke und Einzelheiten darüber, wie sie ausgenutzt werden könnte;
      • Fügen Sie eine Machbarkeitsstudie bei;
      • Bitte respektieren Sie unsere bestehenden Anwendungen. Das Versenden von Formularen mithilfe automatisierter Schwachstellenscanner führt nicht zu einer Prämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
      • Geben Sie uns eine angemessene Zeit, um auf das Problem zu antworten, bevor Sie Informationen darüber veröffentlichen;
      • Greifen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zu und ändern Sie sie nicht, ohne die ausdrückliche Genehmigung des Eigentümers. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten zu Sicherheitsforschungszwecken;
      • Kontaktieren Sie uns sofort, falls Sie versehentlich auf Benutzerdaten stoßen. Sehen, ändern, speichern, speichern, übertragen oder greifen Sie nicht auf andere Weise auf die Daten zu und löschen Sie sofort alle lokalen Informationen, nachdem Sie Nitro die Sicherheitslücke gemeldet haben.
      • Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Zerstörung von Daten und Unterbrechungen oder Beeinträchtigungen unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
      • Ansonsten halten Sie sich an alle geltenden Gesetze.

      Wir belohnen nur den ersten, der eine Sicherheitslücke gemeldet hat. Die öffentliche Offenlegung der Sicherheitslücke vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosen oder störenden Verhaltens vom Programm zu disqualifizieren.

      Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. werden wir den Auszahlungsbetrag nicht aushandeln, wenn angedroht wird, die Sicherheitslücke zurückzuhalten oder die Sicherheitslücke oder andere offengelegte Daten der Öffentlichkeit zugänglich zu machen).

      Prozess zur Sicherheitslücke:

      (1) Nitro wird jede Schwachstelle, die gemäß den obigen Anweisungen gemeldet wurde, anerkennen und bewerten, in der Regel innerhalb weniger7 Tage.

      (2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro eine Risikoanalyse mithilfe des Common Vulnerability Scoring System (CVSS v3) durch und ermittelt die für Nitro-Kunden am besten geeignete Reaktion.

      • Kritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den verbundenen Computern darstellen. Nitro wird kritische Sicherheitslücken mit einem Produktupdate für die aktuelle und vorherige Version von Nitro Pro und alle Cloud-Dienste gemäß der &Sunset Policy für Produktupdates beheben.
      • Nichtkritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein geringes bis mäßiges Risiko und die Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den angeschlossenen Computern darstellen. Nitro wird nach eigenem Ermessen nicht kritische Sicherheitslücken ausschließlich mit einem Produktupdate auf die aktuelle Version von Nitro Pro und allen Cloud-Diensten gemäß der &Sunset Policy für Produktupdates beheben.

      (3) Nitro wird eine Lösung für alle kritischen Sicherheitslücken entwerfen, implementieren,& testen und Kunden in der Regel innerhalb weniger90 Tage ein Produktupdate zur Verfügung stellen.

      (4) Nitro wird alle kritischen Sicherheitslücken, betroffene Versionen und relevante Details zu Produktupdates, die die Probleme beheben, auf dieser Nitro-Seite mit Sicherheitsupdates veröffentlichen. Nitro würdigt einzelne Sicherheitsforscher nicht öffentlich für ihre Beiträge.

      Sicherheitslücken, die außerhalb des Geltungsbereichs liegen

      Die folgenden Probleme fallen nicht in den Geltungsbereich dieses& Policy-Prämienprogramms:

      • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
      • Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen.
      • Fehlende bewährte Methoden (wir benötigen den Nachweis einer Sicherheitslücke).
      • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Hinweise auf eine Ausnutzbarkeit).
      • Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
      • Berichte über unsichere SSL-/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Machbarkeitsnachweis und nicht nur einen Bericht von einem Scanner).
      • Sicherheitslücken bei Inhalts-Spoofing und reiner Textinjektion (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Schwachstelle, bei der Angreifer Bilder oder Rich Text (HTML) injizieren können, aber dafür gibt es kein Bounty.
      • Nitro-Dienste, sofern Sie nicht in der Lage sind, private IPs oder Nitro-Server zu erreichen.

      Konsequenzen der Einhaltung dieser Richtlinie

      Wir werden keine Zivilklage einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten gemäß dem Gesetz über Computerbetrug und -missbrauch. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Nutzungsrichtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsforschung im Rahmen dieser Richtlinie zuzulassen. Wir werden keine DMCA-Klage gegen Sie erheben, weil Sie die technischen Maßnahmen, die wir zum Schutz der Anwendungen getroffen haben, umgangen haben.

      Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Security Vulnerability& Bug Bounty Policy von Nitro eingehalten haben, wird Nitro Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

      Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an einem Verhalten beteiligen, das möglicherweise nicht mit dieser Richtlinie vereinbar ist oder in dieser Richtlinie nicht behandelt wird.

      Das Kleingedruckte

      Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, kommen nicht für Prämien in Frage. Nitro-Mitarbeiter und ihre Familienmitglieder haben keinen Anspruch auf Prämien.

      Um die Einführung von Bug-Bounty-Programmen zu fördern und branchenweit einheitliche bewährte Sicherheitsverfahren zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor, sodass Sie sie für Ihre eigenen Zwecke kopieren und ändern können.

      Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

    • Update zum Sicherheitsvorfall

      Im September30 wurde Nitro auf einen vereinzelten Sicherheitsvorfall aufmerksam, bei dem ein unbefugter Dritter den eingeschränkten Zugriff auf Nitro-Datenbanken beinhaltete.2020

      Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensikexperten eine Untersuchung ein. Die Untersuchung ist jetzt abgeschlossen und Nitro kann Ihnen weitere Informationen geben:

      • Der Vorfall betraf den Zugriff auf bestimmte Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und hauptsächlich für die Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
      • Der kostenlose Online-Konvertierungsservice von Nitro erfordert nicht, dass Benutzer ein Nitro-Konto erstellen oder Nitro-Kunde werden. Die Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die konvertierte Dateien geliefert werden.
      • Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
      • Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash-Passwörter und gesalzene Passwörter sowie Metadaten von Dokumenten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen beinhaltete Firmennamen, Titel und IP-Adressen.
      • Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
      • Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort für veraltete Cloud-Dienste, die sich auf weniger als auswirken0. 0073% der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der unbefugte Dritte speziell auf die Beschaffung von Daten im Zusammenhang mit Kryptowährungen konzentriert hat.

      Als Nitro von diesem Vorfall erfuhr, führte Nitro ein erzwungenes Zurücksetzen des Passworts für alle Benutzer durch, um die Kundenkonten weiter zu sichern. Darüber hinaus beinhalten die allgemeinen Leitlinien zur Aufrechterhaltung einer guten Cyberhygiene:

      • Regelmäßige Änderung der Passwörter von Online-Konten, Verwendung eines separaten Passworts für Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
      • Senden Sie niemals Passwörter für Online-Konten per E-Mail und überprüfen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
      • Wenn möglich, aktivieren Sie die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, aktuelle Antivirensoftware installiert ist.

      Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle. Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine böswilligen Aktivitäten verzeichnet.

      Nitro nimmt die Sicherheit der Daten unserer Kunden ernst, und wir sind hier, um unsere Kunden auf jede Weise zu unterstützen, die hilfreich sein kann. Wir empfehlen jedem, der Fragen hat, sich an incident@gonitro.com zu wenden.