Sicherheitsupdates
    • Letzte Aktualisierung:9 /17 /2020
      Ursprünglich veröffentlicht:9 /1 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene Versionen Schwachstelle CVE Status Solution
      Nitro Pro v13 .19 und früher Ganzzahlüberlauf beim Parsen des Objektstroms
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherbeschädigungen verursacht.
      Lebenslauf-2020 -6113 Entschlossen Aktualisieren Sie auf die neueste Version von
      Nitro Pro v13 .22 und früher app.launchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kann.
      Lebenslauf-2020 -25290 Entschlossen Aktualisieren Sie auf die neueste Version von
    • Letzte Aktualisierung:9 /1 /2020
      Ursprünglich veröffentlicht:9 /1 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene Versionen Schwachstelle CVE Status Solution
      Nitro Pro v13 .22 .0 .414 und früher XRefTable-Eintrag fehlt Objekt – Verwenden Sie nach Free
      Beim Öffnen eines speziell gestalteten, fehlerhaften PDF-Dokuments liegt eine Sicherheitslücke vor, die zu einem Use-After-Free-Zustand führen kann.
      Lebenslauf-2020 -6115 Entschlossen Aktualisieren Sie auf die neueste Version von
      Nitro Pro v13 .22 .0 .414 und früher Indiziertes ColorSpace-Rendering – Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.
      Lebenslauf-2020 -6116 Entschlossen Aktualisieren Sie auf die neueste Version von
      Nitro Pro v13 .22 .0 .414 und früher ICC-basiertes ColorSpace-Rendering – Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.
      Lebenslauf-2020 -6146 Entschlossen Aktualisieren Sie auf die neueste Version von
      Nitro Pro v13 .22 .0 .414 und früher app.launchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kann
      Keine Entschlossen Aktualisieren Sie auf die neueste Version von
    • Letzte Aktualisierung:8 /2 /2020
      Ursprünglich veröffentlicht:8 /2 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene Versionen Schwachstelle CVE Status Solution
      Nitro Pro v12 .16 .3 .574 und früher

      ist nicht betroffen

      Digitale Signatur „Schattenangriffe“
      Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die dazu führen kann, dass zuvor verborgener Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
      Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.
      Keine Entschlossen Aktualisieren Sie auf die neueste Version von
    • Letzte Aktualisierung:5 /8 /2020
      Ursprünglich veröffentlicht:5 /8 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene Versionen Schwachstelle CVE Status Solution
      13.9 .1 .155 und früher JavaScript XML-Fehlerbehandlung – Zugriff von nicht initialisierten Zeigern
      Beim Öffnen eines speziell gestalteten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die einen nicht initialisierten Speicherzugriff verursachen kann, der zu einer potenziellen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6093 Entschlossen Aktualisieren Sie auf die neueste Version von
      13.9 .1 .155 und früher Verschachtelte PDF-Seiten – Nach der kostenlosen Verwendung
      Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6074 Entschlossen Aktualisieren Sie auf die neueste Version von
      13.13 .2 .242 und früher PDF-Musterobjekt – Integer Overflow oder Wraparound
      Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6092 Entschlossen Aktualisieren Sie auf die neueste Version von
    • Letzte Aktualisierung:3 /9 /2020
      Ursprünglich veröffentlicht:3 /9 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      13.9 und vorHeap Korruption npdf.dll
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
      Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.
      Lebenslauf-2020 -10222
      13.9 und vorHaufen Korruption JBIG2 DecodeStream
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
      Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.
      Lebenslauf-2020 -10223

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 13 . 2 . 242Bitte aktualisieren Sie auf die neueste Version von Nitro Pro13 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Letzte Aktualisierung:1 /9 /2020
      Ursprünglich veröffentlicht:10 /31 /2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      13.6 und vorHeap Korruption JPEG2000 ssizDepth
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5045
      13.6 und vorHeap Korruption JPEG2000 yTsiz
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5046
      13.6 und vorNach kostenlosen CharProcs verwenden
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
      Zustand und die Anwendung stürzt ab.
      Lebenslauf-2019 -5047
      13.6 und vorHeap Corruption ICC-basierter Farbraum
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5048
      13.6 und vorHaufen Korruption Seite Kinder
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5050
      13.8 und vorNach der kostenlosen Stream-Länge verwenden
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
      Zustand und die Anwendung stürzt ab.
      Lebenslauf-2019 -5053

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 9 . 1 . 155Bitte aktualisieren Sie auf die neueste Version von Nitro Pro13 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Letzte Aktualisierung:12 /20 /2019
      Ursprünglich veröffentlicht:12 /20 /2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      12.0 .0 .112 und vorJBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
      Lese-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19817
      12.0 .0 .112 und vorJBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
      Lese-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19818
      12.0 .0 .112 und vorJBIG2 Globals Null Pointer Deference-Schwachstelle
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Nullzeiger führen kann
      Deference-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19819
      12.17 .0 .584 und vorTemporäre debug.log-Datei
      Unter bestimmten Bedingungen (z. B. einer abgelaufenen Testversion)
      Datei "debug.log" kann in der Nitro Pro Arbeitsumgebung erstellt werden
      Verzeichnis. Diese debug.log-Datei kann danach manipuliert werden
      die Anwendung wird wie gewohnt geschlossen.
      Lebenslauf-2019 -19858

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 8 . 2 . 140Bitte aktualisieren Sie auf die neueste Version von Nitro Pro13 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Letzte Aktualisierung:10 /18 /2019
      Ursprünglich veröffentlicht:10 /18 /2019

      Update

      Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Schwachstellen zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, bewerteten wir die Richtigkeit der Behauptungen, bewerteten den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung und (basierend auf unseren bestehenden proaktiven Schwachstellenanalyse- und Behandlungsverfahren) stellen wir die Schwachstellen dann in unsere Behebungswarteschlange.

      Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen wenden Sie sich bitte an security@gonitro.com.

    • Letzte Aktualisierung:11 /17 /2017
      Ursprünglich veröffentlicht:11 /17 /2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .6 und vor
      10 .5 .9 .14 und vor
      In der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
      könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
      Dies führt möglicherweise dazu, dass ein File Write außerhalb stattfindet
      des vorgesehenen Weges.
      Lebenslauf-2017 -7442
      11.0 .6 und vor
      10 .5 .9 .14 und vor
      In der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
      könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
      Dies führt möglicherweise zu einem URL-Launch in
      in Verbindung mit einer Sicherheitswarnung.
      Lebenslauf-2017 -7442

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 
      10Nitro kann diese Sicherheitslücke in Nitro Pro nicht beheben fix10 . Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Letzte Aktualisierung:9 /27 /2017
      Ursprünglich veröffentlicht:9 /27 /2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .5 .271 und vor
      10 .5 .9 .14 und vor
      Eine Schwachstelle beim Speicherschreiben, die möglicherweise potentially
      beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt, mit
      ein bestimmtes Count-Feld, das zu Speicherbeschädigungen führt und
      ein Unfall. 
      CVE ausstehend
      11.0 .5 .271 und vor
      10 .5 .9 .14 und vor
      Es liegt eine Use-after-free-Schwachstelle vor, die potenziell
      beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt werden
      ein fehlerhaftes JPEG enthalten2000 Bild, führt zu
      Speicherbeschädigung und ein Absturz.
      CVE ausstehend

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 
      10Nitro kann diese Sicherheitslücke in Nitro Pro nicht beheben fix10 . Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Ursprünglich veröffentlicht:7 /21 /2017

      Letzte Aktualisierung: 8 / 25 / 2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .3 .173 und vor
      10 .5 .9 .14 und vor
      Eine Schwachstelle beim Schreiben außerhalb des Boundary-Speichers, die
      potenziell ausgenutzt werden, wenn ein speziell angefertigtes . geöffnet wird
      PDF-Datei, was zu Speicherbeschädigung und einem Absturz führt.
      Lebenslauf-2017 -2796
      11.0 .3 .173 und vor
      10 .5 .9 .14 und vor
      Eine Heap-Overflow-Schwachstelle, die potenziell
      beim Öffnen eines speziell gestalteten PCX-Images ausgenutzt
      Datei, was zu Speicherbeschädigung und einem Absturz führt.
      Lebenslauf-2017 -7950

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 
      10Nitro kann diese Sicherheitslücke in Nitro Pro nicht beheben fix10 . Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Ursprünglich veröffentlicht:2 /3 /2017

      Letzte Aktualisierung: 8 / 25 / 2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .3 .134 und vor
      10 .5 .9 .9 und vor
      Eine speziell erstellte PDF-Datei kann möglicherweise zu
      Speicherbeschädigung, die zu einem Absturz führt.
      Lebenslauf-2016 -8709
      Lebenslauf-2016 -8713
      11.0 .3 .134 und vor
      10 .5 .9 .9 und vor
      Eine potenzielle Sicherheitsanfälligkeit bezüglich Remotecodeausführung im
      PDF-Parsing-Funktionalität von Nitro Pro.
      Lebenslauf-2016 -8711

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Bitte aktualisieren Sie auf die neueste Version von Nitro Pro11 verfügbar 
      10.5 .9 .14 +Bitte aktualisieren Sie auf die neueste Version von Nitro Pro10 verfügbar 

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Nitro Security Vulnerability & Bug Bounty Policy

      Politik

      Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Der Schutz der Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

      Belohnungen

      Nitro stellt nach eigenem Ermessen Belohnungen für akzeptierte Schwachstellenberichte bereit. Unsere Mindestprämie beträgt $25 USD Amazon-Geschenkkarte. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität der Meldung variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar die Gewährung einer Prämie zu bestimmen.

      Anwendungen im Geltungsbereich

      Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen sind für das Bounty-Programm berechtigt. Darüber hinaus sind alle Cloud-basierten Partnerplattformanwendungen ebenfalls berechtigt (z. B. Nitro File Actions). Wir können dennoch alles mit erheblichen Auswirkungen auf unsere gesamte Sicherheitslage belohnen, daher empfehlen wir Ihnen, solche Schwachstellen über dieses Programm zu melden.

      Berichterstattung und Berechtigung zu Sicherheitslücken

      Alle Sicherheitslücken von Nitro sollten per E-Mail an das Nitro Security Team unter gemeldet werden. Um die Aufdeckung und Meldung von Schwachstellen zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:

      • Teilen Sie uns das Sicherheitsproblem im Detail mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Schwachstelle, die leicht verständlich sind, Informationen zu den tatsächlichen und potenziellen Auswirkungen der Schwachstelle und Details dazu, wie sie ausgenutzt werden könnte;
      • Fügen Sie eine Proof-of-Concept-Datei hinzu;
      • Bitte respektieren Sie unsere bestehenden Anwendungen. Das Spammen von Formularen durch automatisierte Schwachstellen-Scanner führt zu keiner Kopfgeldprämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
      • Geben Sie uns eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
      • Greifen Sie ohne ausdrückliche Zustimmung des Eigentümers nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie. Interagieren Sie nur zu Sicherheitsforschungszwecken mit Ihren eigenen Konten oder Testkonten;
      • Kontaktieren Sie uns umgehend, wenn Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht anzeigen, ändern, speichern, speichern, übertragen oder auf andere Weise darauf zugreifen und alle lokalen Informationen sofort löschen, wenn Nitro die Sicherheitslücke gemeldet wird;
      • Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Datenvernichtung und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
      • Ansonsten alle geltenden Gesetze einhalten.

      Wir belohnen nur den ersten Melder einer Schwachstelle. Die öffentliche Offenlegung der Sicherheitsanfälligkeit vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosem oder störendem Verhalten vom Programm auszuschließen.

      Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. verhandeln wir den Auszahlungsbetrag nicht unter Androhung der Zurückhaltung der Schwachstelle oder der Androhung der Offenlegung der Schwachstelle oder offengelegter Daten an die Öffentlichkeit).

      Sicherheitslückenprozess:

      (1 ) Nitro wird jede gemeldete Schwachstelle gemäß den obigen Anweisungen anerkennen und bewerten, normalerweise innerhalb von7 Tage.

      (2 ) Wenn eine Schwachstelle bestätigt wird, führt Nitro eine Risikoanalyse mit dem Common Vulnerability Scoring System (CVSS v3 ) und bestimmen Sie die am besten geeignete Reaktion für Nitro-Kunden.

      • Kritische Sicherheitslücken: Probleme innerhalb der Software, die, wenn sie nicht behoben werden, ein hohes Risiko und die Wahrscheinlichkeit eines unbefugten Zugriffs, einer Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern darstellen. Nitro wird kritische Sicherheitslücken mit einem Produkt-Update auf die aktuelle und frühere Version von Nitro Pro und allen Cloud-Diensten schließen, so die .
      • Nicht kritische Sicherheitslücken: Probleme innerhalb der Software, die, wenn sie nicht behoben werden, ein geringes bis mittleres Risiko und die Wahrscheinlichkeit eines unbefugten Zugriffs, einer Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern darstellen. Nitro behebt nach eigenem Ermessen nicht kritische Sicherheitslücken mit einem Produkt-Update nur auf die aktuelle Version von Nitro Pro und alle Cloud-Dienste gemäß .

      (3 ) Nitro entwirft, implementiert und testet einen Fix für alle kritischen Sicherheitslücken und stellt den Kunden ein Produkt-Update zur Verfügung, normalerweise innerhalb von90 Tage.

      (4 ) Nitro wird alle kritischen Sicherheitsschwachstellen, betroffene Versionen und relevante Details von Produktupdates, die die Probleme beheben, auf dieser Nitro-Sicherheitsupdate-Seite öffentlich offenlegen. Nitro erkennt einzelne Sicherheitsforscher nicht öffentlich für ihre Einreichungen an.

      Außerhalb des Geltungsbereichs liegende Sicherheitslücken

      Die folgenden Themen fallen nicht in den Geltungsbereich dieses Richtlinien- und Prämienprogramms:

      • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
      • Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
      • Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
      • Verwendung einer als angreifbar bekannten Bibliothek (ohne Nachweis der Ausnutzbarkeit).
      • Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
      • Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
      • Inhalts-Spoofing und reine Textinjektions-Schwachstellen (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Sicherheitslücke, bei der ein Angreifer Bilder oder Rich Text (HTML) einschleusen kann, die jedoch nicht für ein Kopfgeld berechtigt sind.
      • Nitro-Dienste, es sei denn, Sie können private IPs oder Nitro-Server erreichen.

      Folgen der Einhaltung dieser Richtlinie

      Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, wenn versehentlich und in gutem Glauben gegen diese Richtlinie verstoßen wird. Wir betrachten Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Computerbetrugs- und Missbrauchsgesetzes. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung gemäß dieser Richtlinie zu gestatten. Wir werden keinen DMCA-Anspruch gegen Sie wegen Umgehung der technischen Maßnahmen erheben, die wir zum Schutz der Anwendungen im Anwendungsbereich eingesetzt haben.

      Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Richtlinie zu Sicherheitslücken und Bug-Bounty von Nitro eingehalten haben, wird Nitro Schritte unternehmen, um bekannt zu machen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

      Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an Verhaltensweisen beteiligen, die möglicherweise nicht mit dieser Richtlinie in Einklang stehen oder von dieser nicht angesprochen werden.

      Das Kleingedruckte

      Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, sind nicht prämienberechtigt. Nitro-Mitarbeiter und deren Familienmitglieder haben keinen Anspruch auf Prämien.

      Um die Einführung von Bug-Bounty-Programmen zu fördern und einheitliche Best Practices für die Sicherheit in der gesamten Branche zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor und es steht Ihnen daher frei, sie für Ihre eigenen Zwecke zu kopieren und zu ändern.

      Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter

    • Sicherheitsvorfall-Update

      Im September30 ,2020 wurde Nitro von einem vereinzelten Sicherheitsvorfall mit eingeschränktem Zugriff auf Nitro-Datenbanken durch einen nicht autorisierten Dritten Kenntnis genommen.

      Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensik-Experten eine Untersuchung ein. Die Untersuchung ist nun abgeschlossen und Nitro kann weitere Details mitteilen:

      • Der Vorfall betraf den Zugriff auf spezielle Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und in erster Linie zur Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
      • Für den kostenlosen Online-Konvertierungsservice von Nitro müssen Benutzer kein Nitro-Konto erstellen oder Nitro-Kunde werden. Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die die konvertierten Dateien geliefert werden.
      • Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
      • Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash- und Salted-Passwörter sowie Dokument-Metadaten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen umfasste Firmennamen, Titel und IP-Adressen.
      • Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
      • Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort von Legacy-Cloud-Diensten, die sich auf weniger als0 .0073 % der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der nicht autorisierte Dritte speziell darauf konzentriert hat, Daten im Zusammenhang mit Kryptowährung zu erhalten.

      Als Nitro von diesem Vorfall erfuhr, führte Nitro für alle Benutzer eine erzwungene Passwortzurücksetzung durch, um die Kundenkonten weiter zu schützen. Darüber hinaus umfasst die allgemeine Anleitung zur Aufrechterhaltung einer guten Cyberhygiene:

      • Regelmäßiges Ändern der Passwörter für Online-Konten, Verwendung eines separaten Passworts für das Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
      • Versenden Sie niemals Passwörter für Online-Konten per E-Mail und überprüfen Sie, ob Online-Konten sicher sind, indem Sie besuchen.
      • Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, eine aktuelle Antivirensoftware installiert ist.

      Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle . Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine bösartigen Aktivitäten festgestellt.

      Nitro nimmt den Schutz und die Sicherheit der Daten unserer Kunden ernst und wir sind hier, um unsere Kunden in jeder hilfreichen Weise zu unterstützen. Wir ermutigen jeden, der Fragen hat, sich zu melden.

Wissensdatenbank
Maximieren Sie Ihre Investition mit informativen Artikeln über spezielle Nitro-Funktionen, Produkte und mehr.
Community-Forum
Stellen Sie Fragen, teilen Sie Feedback und interagieren Sie mit anderen Nitro-Kunden und -Experten.
Hilfeanfrage
05. Juli 2021, 13:06 Uhr
Wenn Sie über Nitro VIP-Zugang oder Premium-Support verfügen, können Sie ein Support-Ticket eröffnen und uns direkt kontaktieren.
Content-Bibliothek

Digitale Dokumententransformation von Anfang bis Ende

In der neuen Studie vergleicht und bewertet GigaOm die Funktionalität und Fähigkeiten der branchenführenden E-Signatur- und PDF-Lösungen.
Portions of this page translated by Google.