Menü
Jetzt kaufen »

Security Updates

Originally published: 11/17/2017
Last updated: 11/17/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.6 and prior
10.5.9.14 and prior
In der Funktion Doc.SaveAs besteht eine Sicherheitsanfälligkeit, die
von einer speziell gestalteten PDF-Datei
ausgenutzt werden kann und möglicherweise dazu führt, dass ein Dateischreiben außerhalb
des vorgesehenen Pfads stattfindet.
CVE-2017-7442
11.0.6 and prior
10.5.9.14 and prior
A vulnerability exists in the Doc.SaveAs function which
could be exploited by a specially crafted PDF file,
potentially leading to a URL launch taking place in
conjunction with a Security Alert.
CVE-2017-7442

Lösung

Nitro empfiehlt privaten Benutzern (Einzelpersonen), ihre Software auf die nachstehende neueste Version zu aktualisieren. Business-Kunden können sich zwecks Zugriff auf Sicherheits-Updates und Anweisungen zur Verteilung im Unternehmen an ihren Nitro-Kundenbetreuer wenden. Enterprise-Kunden mit zugeordnetem Customer Success Manager erhalten nähere Informationen zu aktualisierten Versionen, mit denen die Probleme behoben wurden.

Aktualisierte Version Verfügbarkeit
11.0.8.470 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 27.09.2017

Letztes Update: 27.09.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.5.271 und älter
10.5.9.14 und älter
Eine Sicherheitslücke bei Schreiboperationen in den Speicher, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete PDF-Datei mit
einem bestimmten „Anzahl“-Feld geöffnet wird, was zu einer Beschädigung des Speichers und
zu einem Absturz führt.
CVE anstehend
11.0.5.271 und älter
10.5.9.14 und älter
Es existiert eine „Use-After-Free“-Sicherheitslücke, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete PDF-Datei mit
einem modifizierten JPEG2000-Bild geöffnet wird, was zu einer Beschädigung des Speichers und
zu einem Absturz führt.
CVE anstehend

Lösung

Nitro empfiehlt privaten Benutzern (Einzelpersonen), ihre Software auf die nachstehende neueste Version zu aktualisieren. Business-Kunden können sich zwecks Zugriff auf Sicherheits-Updates und Anweisungen zur Verteilung im Unternehmen an ihren Nitro-Kundenbetreuer wenden. Enterprise-Kunden mit zugeordnetem Customer Success Manager erhalten nähere Informationen zu aktualisierten Versionen, mit denen die Probleme behoben wurden.

Aktualisierte Version Verfügbarkeit
11.0.8.470 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 21.07.2017

Letztes Update: 25.08.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.3.173 und älter
10.5.9.14 und älter
Eine Sicherheitslücke bei Schreiboperationen in unzulässige Speicherbereiche („Out-of-Bounds“), die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete
PDF-Datei geöffnet wird, was zu einer Beschädigung des Speichers und zu einem Absturz führt.
CVE-2017-2796
11.0.3.173 und älter
10.5.9.14 und älter
Eine Sicherheitslücke im Zusammenhang mit Heap-Überläufen, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete
PDF-Datei geöffnet wird, was zu einer Beschädigung des Speichers und zu einem Absturz führt.
CVE-2017-7950

Lösung

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Aktualisierte Version Verfügbarkeit
11.0.8.470 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 03.02.2017

Letztes Update: 25.08.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.3.134 und älter
10.5.9.9 und älter
Eine speziell gestaltete PDF-Datei kann potenziell zu einer
Beschädigung des Speichers und daraufhin zu einem Absturz führen.
CVE-2016-8709
CVE-2016-8713
11.0.3.134 und älter
10.5.9.9 und älter
Eine Sicherheitslücke im Zusammenhang mit Remotecodeausführung in der
PDF-Parsing-Funktion von Nitro Pro.
CVE-2016-8711

Lösung

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Aktualisierte Version Verfügbarkeit
11.0.8.470 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10.5.9.14 und höher Führen Sie ein Update auf die neueste Version von Nitro Pro 10 durch, die hier erhältlich ist.

For more information, please contact the Nitro Security Team at security@gonitro.com

Nitro Security Vulnerability & Bug Bounty Policy

Policy

Nitro is proud to have required few historical Product Updates for security vulnerabilities. Keeping user information safe and secure is a top priority and a core company value for us at Nitro. We welcome the contribution of external security researchers and look forward to awarding them for their invaluable contribution to the security of all Nitro users.

Rewards

Nitro provides rewards for accepted vulnerability reports at its discretion. Our minimum reward is a $25 USD Amazon gift card. Reward amounts may vary depending upon the severity of the vulnerability reported and quality of the report. Keep in mind that this is not a contest or competition. We reserve the right to determine amount or even whether a reward should be granted.

Applications in Scope

Nitro Pro, Nitro Cloud and Nitro Admin applications are eligible for the bounty program. In addition, any cloud-based partner platform applications are also eligible (eg Nitro File Actions). We may still reward anything with significant impact across our entire security posture, so we encourage you to report such vulnerabilities via this program.

Security Vulnerability Reporting & Eligibility

All Nitro security vulnerabilities should be reported via email to the Nitro Security Team at security@gonitro.com. To promote the discovery and reporting of vulnerabilities and increase user safety, we ask that you:

  • Share the security issue with us in detail, including the application name, version/build affected, concise steps to reproduce the vulnerability that are easily understood, information on the actual and potential impact of the vulnerability, and details of how it could be exploited;
  • Include a proof-of-concept file;
  • Please be respectful of our existing applications. Spamming forms through automated vulnerability scanners will not result in any bounty reward since those are explicitly out of scope;
  • Give us a reasonable time to respond to the issue before making any information about it public;
  • Do not access or modify our data or our users’ data, without explicit permission of the owner. Only interact with your own accounts or test accounts for security research purposes;
  • Contact us immediately if you do inadvertently encounter user data. Do not view, alter, save, store, transfer, or otherwise access the data, and immediately purge any local information upon reporting the vulnerability to Nitro;
  • Act in good faith to avoid privacy violations, destruction of data, and interruption or degradation of our services (including denial of service); and
  • Otherwise comply with all applicable laws.

We only reward the first reporter of a vulnerability. Public disclosure of the vulnerability prior to resolution may cancel a pending reward. We reserve the right to disqualify individuals from the program for disrespectful or disruptive behavior.

We will not negotiate in response to duress or threats (e.g., we will not negotiate the payout amount under threat of withholding the vulnerability or threat of releasing the vulnerability or any exposed data to the public).

Security Vulnerability Process:

(1) Nitro bewertet und bestätigt Sicherheitslücken, die gemäß der oben aufgeführten Anleitung gemeldet werden, üblicherweise innerhalb von 7 Tagen.

(2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro im Rahmen des Common Vulnerability Scoring System (CVSS v3) eine entsprechende Risikoanalyse durch und ermittelt die adäquatesten Gegenmaßnahmen aus der Kunden von Nitro.

  • Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a high risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro will resolve critical security vulnerabilities with a Product Update to the Current and Previous Release of Nitro Pro, and all cloud services, according to the Product Updates & Sunset Policy.
  • Non-Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a low to moderate risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro at its discretion, will resolve Non-Critical Security Vulnerabilities with a Product Update to the Current Release of Nitro Pro only, and all cloud services according to the Product Updates & Sunset Policy.

(3) Nitro will design, implement & test a fix for all Critical Security Vulnerabilities, and provide a Product Update to customers, typically within 90 days.

(4) Nitro will publicly disclose all Critical Security Vulnerabilities, affected versions, and relevant details of Product Updates that address the issues, on this Nitro Security Updates page. Nitro does not publicly acknowledge individual security researchers for their submissions.

Out-of-Scope Security Vulnerabilities

The following issues are outside the scope of this policy & rewards program:

  • Attacks requiring physical access to a user's device.
  • Missing security headers which do not lead directly to a vulnerability.
  • Missing best practices (we require evidence of a security vulnerability).
  • Use of a known-vulnerable library (without evidence of exploitability).
  • Social engineering of Nitro employees or contractors.
  • Reports of insecure SSL/TLS ciphers (unless you have a working proof of concept, and not just a report from a scanner).
  • Content spoofing and pure text injection vulnerabilities (where you can only inject text or an image into a page). We will accept and resolve a spoofing vulnerability where attacker can inject image or rich text (HTML), but it is not eligible for a bounty.
  • Nitro services unless you are able to hit private IPs or Nitro servers.

Consequences of Complying with This Policy

We will not pursue civil action or initiate a complaint to law enforcement for accidental, good faith violations of this policy. We consider activities conducted consistent with this policy to constitute “authorized” conduct under the Computer Fraud and Abuse Act. To the extent your activities are inconsistent with certain restrictions in our Acceptable Use Policy, we waive those restrictions for the limited purpose of permitting security research under this policy. We will not bring a DMCA claim against you for circumventing the technological measures we have used to protect the applications in scope.

If legal action is initiated by a third party against you and you have complied with Nitro’s Security Vulnerability & Bug Bounty Policy, Nitro will take steps to make it known that your actions were conducted in compliance with this policy.

Please submit a report to us before engaging in conduct that may be inconsistent with or unaddressed by this policy.

The Fine Print

You are responsible for paying any taxes associated with rewards. We may modify the terms of this program or terminate this program at any time. We won’t apply any changes we make to these program terms retroactively. Reports from individuals who we are prohibited by law from paying are Ineligible for rewards. Nitro employees and their family members are not eligible for any rewards.

In order to encourage the adoption of bug bounty programs and promote uniform security best practices across the industry, Nitro reserves no rights in this bug bounty policy and so you are free to copy and modify it for your own purposes.

For more information, please contact the Nitro Security Team at security@gonitro.com