Menu
Contact Sales »

Security Updates

Originally published: 11/17/2017
Last updated: 11/17/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.6 and prior
10.5.9.14 and prior
In der Funktion Doc.SaveAs besteht eine Sicherheitsanfälligkeit, die
von einer speziell gestalteten PDF-Datei
ausgenutzt werden kann und möglicherweise dazu führt, dass ein Dateischreiben außerhalb
des vorgesehenen Pfads stattfindet.
CVE-2017-7442
11.0.6 and prior
10.5.9.14 and prior
A vulnerability exists in the Doc.SaveAs function which
could be exploited by a specially crafted PDF file,
potentially leading to a URL launch taking place in
conjunction with a Security Alert.
CVE-2017-7442

Lösung

Nitro empfiehlt privaten Benutzern (Einzelpersonen), ihre Software auf die nachstehende neueste Version zu aktualisieren. Business-Kunden können sich zwecks Zugriff auf Sicherheits-Updates und Anweisungen zur Verteilung im Unternehmen an ihren Nitro-Kundenbetreuer wenden. Enterprise-Kunden mit zugeordnetem Customer Success Manager erhalten nähere Informationen zu aktualisierten Versionen, mit denen die Probleme behoben wurden.

Aktualisierte Version Verfügbarkeit
11.0.7.425 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 27.09.2017

Letztes Update: 27.09.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.5.271 und älter
10.5.9.14 und älter
Eine Sicherheitslücke bei Schreiboperationen in den Speicher, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete PDF-Datei mit
einem bestimmten „Anzahl“-Feld geöffnet wird, was zu einer Beschädigung des Speichers und
zu einem Absturz führt.
CVE anstehend
11.0.5.271 und älter
10.5.9.14 und älter
Es existiert eine „Use-After-Free“-Sicherheitslücke, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete PDF-Datei mit
einem modifizierten JPEG2000-Bild geöffnet wird, was zu einer Beschädigung des Speichers und
zu einem Absturz führt.
CVE anstehend

Lösung

Nitro empfiehlt privaten Benutzern (Einzelpersonen), ihre Software auf die nachstehende neueste Version zu aktualisieren. Business-Kunden können sich zwecks Zugriff auf Sicherheits-Updates und Anweisungen zur Verteilung im Unternehmen an ihren Nitro-Kundenbetreuer wenden. Enterprise-Kunden mit zugeordnetem Customer Success Manager erhalten nähere Informationen zu aktualisierten Versionen, mit denen die Probleme behoben wurden.

Aktualisierte Version Verfügbarkeit
11.0.6.326 Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 21.07.2017

Letztes Update: 25.08.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.3.173 und älter
10.5.9.14 und älter
Eine Sicherheitslücke bei Schreiboperationen in unzulässige Speicherbereiche („Out-of-Bounds“), die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete
PDF-Datei geöffnet wird, was zu einer Beschädigung des Speichers und zu einem Absturz führt.
CVE-2017-2796
11.0.3.173 und älter
10.5.9.14 und älter
Eine Sicherheitslücke im Zusammenhang mit Heap-Überläufen, die potenziell ausgenutzt werden
könnte, wenn eine speziell gestaltete
PDF-Datei geöffnet wird, was zu einer Beschädigung des Speichers und zu einem Absturz führt.
CVE-2017-7950

Lösung

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Aktualisierte Version Verfügbarkeit
11.0.5.271 und höher Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10 Nitro kann diese Sicherheitsanfälligkeit in Nitro Pro 10 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11, die hier verfügbar ist

For more information, please contact the Nitro Security Team at security@gonitro.com

Erstmalige Veröffentlichung: 03.02.2017

Letztes Update: 25.08.2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Betroffene Versionen Sicherheitslücke CVE
11.0.3.134 und älter
10.5.9.9 und älter
Eine speziell gestaltete PDF-Datei kann potenziell zu einer
Beschädigung des Speichers und daraufhin zu einem Absturz führen.
CVE-2016-8709
CVE-2016-8713
11.0.3.134 und älter
10.5.9.9 und älter
Eine Sicherheitslücke im Zusammenhang mit Remotecodeausführung in der
PDF-Parsing-Funktion von Nitro Pro.
CVE-2016-8711

Lösung

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Aktualisierte Version Verfügbarkeit
11.0.3.173 und höher Führen Sie ein Update auf die neueste Version von Nitro Pro 11 durch, die hier erhältlich ist.
10.5.9.14 und höher Führen Sie ein Update auf die neueste Version von Nitro Pro 10 durch, die hier erhältlich ist.

For more information, please contact the Nitro Security Team at security@gonitro.com

Nitro-Richtlinie und Verfahrensweise bezüglich Sicherheitslücken

Die Sicherheit der eigenen Produkte und Services zählt zu den Kernwerten von Nitro. Nitro ist stolz darauf, dass dank proaktiver Sicherheitskonzepte und Testverfahren in der Vergangenheit nur wenige Sicherheits-Updates veröffentlicht werden mussten. Eine zentrale Rolle spielt dabei, wie Nitro Sicherheitslücken, einschließlich derjenigen, die Nitro von Dritten gemeldet werden, verwaltet.

Melden einer Sicherheitslücke

Sämtliche Nitro-Sicherheitslücken sind dem Nitro Security Team unter der E-Mail-Adresse security@gonitro.com zu melden. Geben Sie die betroffene Version bzw. den betroffenen Build sowie genaue und leicht verständliche Schritte zur Reproduktion der Schwachstelle an und fügen Sie eine Proof-of-Concept-Datei bei. Auch wenn Nitro für gemeldete Softwarefehler und Sicherheitslücken dankbar ist, werden übermittelte Sicherheitslücken von Nitro weder bestätigt, noch erfolgen Rückmeldungen.

Nitro-Verfahrensweise bezüglich Sicherheitslücken:

(1) Nitro bewertet und bestätigt Sicherheitslücken, die gemäß der oben aufgeführten Anleitung gemeldet werden, üblicherweise innerhalb von 7 Tagen.

(2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro im Rahmen des Common Vulnerability Scoring System (CVSS v3) eine entsprechende Risikoanalyse durch und ermittelt die adäquatesten Gegenmaßnahmen aus der Kunden von Nitro.

  • Kritische Sicherheits-Updates: Probleme innerhalb der Software, die – sofern nicht behoben – ein großes Risiko darstellen und mit hoher Wahrscheinlichkeit den unerlaubten Zugriff auf bzw. die Veränderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder Computern im Netzwerk zur Folge haben könnten. Nitro behebt kritische Sicherheitslücken durch ein kritisches Update für die aktuelle sowie vorherige Software-Versionen bzw. durch ein Major Upgrade der aktuellen und/oder vorherigen Version.

  • Nicht kritische Sicherheits-Updates: Probleme innerhalb der Software, die – sofern nicht behoben – ein geringes bis moderates Risiko darstellen und mit entsprechend geringer Wahrscheinlichkeit den unerlaubten Zugriff auf bzw. die Veränderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder Computern im Netzwerk zur Folge haben könnten. Nitro behebt nicht kritische Sicherheitslücken durch ein Minor Update oder ein Major Upgrade der aktuellen Version.

(3) Nitro entwickelt, implementiert und prüft sämtliche Sicherheits-Updates und stellt sie Kunden mit unterstützten Software-Versionen üblicherweise innerhalb von 90 Tagen zur Verfügung.

(4) Nitro publiziert alle kritischen Sicherheitslücken, die betroffenen Versionen und relevante Details aktualisierter Versionen, mit denen die Probleme behoben werden, auf der Seite „Sicherheits-Updates“.

For more information, please contact the Nitro Security Team at security@gonitro.com