-
Letzte Aktualisierung:10 /25 /2021
Ursprünglich veröffentlicht:10 /25 /2021Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro v13 .49 und früher JavaScript local_file_path Object Use-After-Free-Schwachstelle
Ein speziell gestaltetes Dokument kann dazu führen, dass ein Objekt, das den Pfad zu einem Dokument enthält, zerstört und später wiederverwendet wird, was zu einer Use-after-free-Schwachstelle führt, die zur Codeausführung im Kontext der Anwendung führen kann. Ein Angreifer kann einen Benutzer dazu verleiten, ein Dokument zu öffnen, um diese Schwachstelle auszulösen.
Lebenslauf-2021 -21796 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .49 und früher Double-Free-Sicherheitslücke in JavaScript TimeOutconnect/t
Ein speziell gestaltetes Dokument kann dazu führen, dass ein Verweis auf ein Timeout-Objekt an zwei verschiedenen Stellen gespeichert wird. Beim Schließen des Dokuments wird die Referenz zweimal freigegeben. Dies kann zur Codeausführung im Kontext der Anwendung führen. Ein Angreifer kann einen Benutzer dazu verleiten, ein Dokument zu öffnen, um diese Schwachstelle auszulösen.
Lebenslauf-2021 -21797 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:9 /10 /2021
Ursprünglich veröffentlicht:9 /10 /2021Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro v13 .47 und früher Log 4 Net-Parsing-Schwachstelle
Apache log 4 net version vor 2. 0. 10 Deaktivieren Sie keine externen XML-Entitäten, wenn Sie die 4 Netzkonfigurationsdateien des Protokolls parsen. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die vom Angreifer kontrollierte Log 4 net-Konfigurationsdateien akzeptieren.Wichtig: Um diesen Fix anzuwenden, führen Sie bitte ein Upgrade auf die iManage Desktop-Anwendung der Version 10 durch. 5 oder neuer. Um zu vermeiden, dass Dokumente schreibgeschützt werden, stellen Sie bitte sicher, dass alle auf demselben Computer geöffneten Dokumente geschlossen und EINGECHECKT sind.
Lebenslauf-2018 -1285 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .47 und früher JavaScript document.flattenPages
Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Schwachstelle, die zur Codeausführung im Kontext der Anwendung führen kann.Lebenslauf-2021 -21798 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:9 /17 /2020
Ursprünglich veröffentlicht:9 /1 /2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro v13 .19 und früher Ganzzahlüberlauf beim Parsen des Objektstroms
Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherbeschädigungen verursacht.Lebenslauf-2020 -6113 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .22 und früher app.launchURL JavaScript-Befehlsinjektion
Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kann.Lebenslauf-2020 -25290 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:9 /1 /2020
Ursprünglich veröffentlicht:9 /1 /2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro v13 .22 .0 .414 und früher XRefTable-Eintrag fehlt Objekt – Verwenden Sie nach Free
Beim Öffnen eines speziell gestalteten, fehlerhaften PDF-Dokuments liegt eine Sicherheitslücke vor, die zu einem Use-After-Free-Zustand führen kann.Lebenslauf-2020 -6115 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .22 .0 .414 und früher Indiziertes ColorSpace-Rendering – Pufferüberlauf
Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.Lebenslauf-2020 -6116 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .22 .0 .414 und früher ICC-basiertes ColorSpace-Rendering – Pufferüberlauf
Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.Lebenslauf-2020 -6146 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch Nitro Pro v13 .22 .0 .414 und früher app.launchURL JavaScript-Befehlsinjektion
Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kannKeine Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:8 /2 /2020
Ursprünglich veröffentlicht:8 /2 /2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro v12 .16 .3 .574 und früher
Nitro Sign ist davon nicht betroffen
Digitale Signatur „Schattenangriffe“
Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die dazu führen kann, dass zuvor verborgener Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.Keine Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:5 /8 /2020
Ursprünglich veröffentlicht:5 /8 /2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE Status Lösung 13.9 .1 .155 und früher JavaScript XML-Fehlerbehandlung – Zugriff von nicht initialisierten Zeigern
Beim Öffnen eines speziell gestalteten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die einen nicht initialisierten Speicherzugriff verursachen kann, der zu einer potenziellen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.Lebenslauf-2020 -6093 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch 13.9 .1 .155 und früher Verschachtelte PDF-Seiten – Nach der kostenlosen Verwendung
Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.Lebenslauf-2020 -6074 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch 13.13 .2 .242 und früher PDF-Musterobjekt – Integer Overflow oder Wraparound
Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.Lebenslauf-2020 -6092 Entschlossen Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch -
Letzte Aktualisierung:3 /9 /2020
Ursprünglich veröffentlicht:3 /9 /2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 13.9 und vor Heap Korruption npdf.dll
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.Lebenslauf-2020 -10222 13.9 und vor Haufen Korruption JBIG2 DecodeStream
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.Lebenslauf-2020 -10223 Lösung
Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13 . 13 . 2 . 242 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 13 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Letzte Aktualisierung:1 /9 /2020
Ursprünglich veröffentlicht:10 /31 /2019Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 13.6 und vor Heap Korruption JPEG2000 ssizDepth
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
Ausführung ist nicht nachgewiesen, aber möglich.Lebenslauf-2019 -5045 13.6 und vor Heap Korruption JPEG2000 yTsiz
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
Ausführung ist nicht nachgewiesen, aber möglich.Lebenslauf-2019 -5046 13.6 und vor Nach kostenlosen CharProcs verwenden
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
Zustand und die Anwendung stürzt ab.Lebenslauf-2019 -5047 13.6 und vor Heap Corruption ICC-basierter Farbraum
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
Ausführung ist nicht nachgewiesen, aber möglich.Lebenslauf-2019 -5048 13.6 und vor Haufen Korruption Seite Kinder
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
Ausführung ist nicht nachgewiesen, aber möglich.Lebenslauf-2019 -5050 13.8 und vor Nach der kostenlosen Stream-Länge verwenden
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
Zustand und die Anwendung stürzt ab.Lebenslauf-2019 -5053 Lösung
Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13 . 9 . 1 . 155 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 13 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Letzte Aktualisierung:12 /20 /2019
Ursprünglich veröffentlicht:12 /20 /2019Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 12.0 .0 .112 und vor JBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
Lese-Schwachstelle und Absturz der Anwendung.Lebenslauf-2019 -19817 12.0 .0 .112 und vor JBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
Lese-Schwachstelle und Absturz der Anwendung.Lebenslauf-2019 -19818 12.0 .0 .112 und vor JBIG2 Globals Null Pointer Deference-Schwachstelle
Beim Öffnen eines speziell gestalteten
bösartiges PDF-Dokument, das zu einem Nullzeiger führen kann
Deference-Schwachstelle und Absturz der Anwendung.Lebenslauf-2019 -19819 12.17 .0 .584 und vor Temporäre debug.log-Datei
Unter bestimmten Bedingungen (z. B. einer abgelaufenen Testversion)
Datei "debug.log" kann in der Nitro Pro Arbeitsumgebung erstellt werden
Verzeichnis. Diese debug.log-Datei kann danach manipuliert werden
die Anwendung wird wie gewohnt geschlossen.Lebenslauf-2019 -19858 Lösung
Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13 . 8 . 2 . 140 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 13 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Letzte Aktualisierung:10 /18 /2019
Ursprünglich veröffentlicht:10 /18 /2019Update
Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Schwachstellen zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, bewerteten wir die Richtigkeit der Behauptungen, bewerteten den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung und (basierend auf unseren bestehenden proaktiven Schwachstellenanalyse- und Behandlungsverfahren) stellen wir die Schwachstellen dann in unsere Behebungswarteschlange.
Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen wenden Sie sich bitte an security@gonitro.com.
-
Letzte Aktualisierung:11 /17 /2017
Ursprünglich veröffentlicht:11 /17 /2017Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 11.0 .6 und vor
10 .5 .9 .14 und vorIn der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
Dies führt möglicherweise dazu, dass ein File Write außerhalb stattfindet
des vorgesehenen Weges.Lebenslauf-2017 -7442 11.0 .6 und vor
10 .5 .9 .14 und vorIn der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
Dies führt möglicherweise zu einem URL-Launch in
in Verbindung mit einer Sicherheitswarnung.Lebenslauf-2017 -7442 Lösung
Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 11 . 0 . 8 . 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist 10 Nitro kann diese Schwachstelle in Nitro Pro 13 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Letzte Aktualisierung:9 /27 /2017
Ursprünglich veröffentlicht:9 /27 /2017Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 11.0 .5 .271 und vor
10 .5 .9 .14 und vorEine Schwachstelle beim Speicherschreiben, die möglicherweise potentially
beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt, mit
ein bestimmtes Count-Feld, das zu Speicherbeschädigungen führt und
ein Unfall.CVE ausstehend 11.0 .5 .271 und vor
10 .5 .9 .14 und vorEs liegt eine Use-after-free-Schwachstelle vor, die potenziell
beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt werden
ein fehlerhaftes JPEG enthalten2000 Bild, führt zu
Speicherbeschädigung und ein Absturz.CVE ausstehend Lösung
Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 11 . 0 . 8 . 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist 10 Nitro kann diese Schwachstelle in Nitro Pro 13 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Ursprünglich veröffentlicht:7 /21 /2017
Letzte Aktualisierung: 8 / 25 / 2017
Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 11.0 .3 .173 und vor
10 .5 .9 .14 und vorEine Schwachstelle beim Schreiben außerhalb des Boundary-Speichers, die
potenziell ausgenutzt werden, wenn ein speziell angefertigtes . geöffnet wird
PDF-Datei, was zu Speicherbeschädigung und einem Absturz führt.Lebenslauf-2017 -2796 11.0 .3 .173 und vor
10 .5 .9 .14 und vorEine Heap-Overflow-Schwachstelle, die potenziell
beim Öffnen eines speziell gestalteten PCX-Images ausgenutzt
Datei, was zu Speicherbeschädigung und einem Absturz führt.Lebenslauf-2017 -7950 Lösung
Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 11 . 0 . 8 . 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist 10 Nitro kann diese Schwachstelle in Nitro Pro 13 nicht beheben. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Ursprünglich veröffentlicht:2 /3 /2017
Letzte Aktualisierung: 8 / 25 / 2017
Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.
Betroffene Versionen Schwachstelle CVE 11.0 .3 .134 und vor
10 .5 .9 .9 und vorEine speziell erstellte PDF-Datei kann möglicherweise zu
Speicherbeschädigung, die zu einem Absturz führt.Lebenslauf-2016 -8709
Lebenslauf-2016 -871311.0 .3 .134 und vor
10 .5 .9 .9 und vorEine potenzielle Sicherheitsanfälligkeit bezüglich Remotecodeausführung im
PDF-Parsing-Funktionalität von Nitro Pro.Lebenslauf-2016 -8711 Lösung
Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 11 . 0 . 8 . 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 11 , die hier verfügbar ist 10.5 .9 .14 + Bitte aktualisieren Sie auf die neueste Version von Nitro Pro 13 , die hier verfügbar ist Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Nitro Security Vulnerability & Bug Bounty Policy
Politik
Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Der Schutz der Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.
Belohnungen
Nitro stellt nach eigenem Ermessen Belohnungen für akzeptierte Schwachstellenberichte bereit. Unsere Mindestprämie beträgt $25 USD Amazon-Geschenkkarte. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität der Meldung variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar die Gewährung einer Prämie zu bestimmen.
Anwendungen im Geltungsbereich
Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen sind für das Bounty-Programm berechtigt. Darüber hinaus sind alle Cloud-basierten Partnerplattformanwendungen ebenfalls berechtigt (z. B. Nitro File Actions). Wir können dennoch alles mit erheblichen Auswirkungen auf unsere gesamte Sicherheitslage belohnen, daher empfehlen wir Ihnen, solche Schwachstellen über dieses Programm zu melden.
Berichterstattung und Berechtigung zu Sicherheitslücken
Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Erkennung und Meldung von Schwachstellen zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:
- Teilen Sie uns das Sicherheitsproblem im Detail mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Schwachstelle, die leicht verständlich sind, Informationen zu den tatsächlichen und potenziellen Auswirkungen der Schwachstelle und Details dazu, wie sie ausgenutzt werden könnte;
- Fügen Sie eine Proof-of-Concept-Datei hinzu;
- Bitte respektieren Sie unsere bestehenden Anwendungen. Das Spammen von Formularen durch automatisierte Schwachstellen-Scanner führt zu keiner Kopfgeldprämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
- Geben Sie uns eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
- Greifen Sie ohne ausdrückliche Zustimmung des Eigentümers nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie. Interagieren Sie nur zu Sicherheitsforschungszwecken mit Ihren eigenen Konten oder Testkonten;
- Kontaktieren Sie uns umgehend, wenn Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht anzeigen, ändern, speichern, speichern, übertragen oder auf andere Weise darauf zugreifen und alle lokalen Informationen sofort löschen, wenn Nitro die Sicherheitslücke gemeldet wird;
- Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Datenvernichtung und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
- Ansonsten alle geltenden Gesetze einhalten.
Wir belohnen nur den ersten Melder einer Schwachstelle. Die öffentliche Offenlegung der Sicherheitsanfälligkeit vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosem oder störendem Verhalten vom Programm auszuschließen.
Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. verhandeln wir den Auszahlungsbetrag nicht unter Androhung der Zurückhaltung der Schwachstelle oder der Androhung der Offenlegung der Schwachstelle oder offengelegter Daten an die Öffentlichkeit).
Sicherheitslückenprozess:
(1 ) Nitro wird jede gemeldete Schwachstelle gemäß den obigen Anweisungen anerkennen und bewerten, normalerweise innerhalb von7 Tage.
(2 ) Wenn eine Schwachstelle bestätigt wird, führt Nitro eine Risikoanalyse mit dem Common Vulnerability Scoring System (CVSS v3 ) und bestimmen Sie die am besten geeignete Reaktion für Nitro-Kunden.
- Kritische Sicherheitslücken: Probleme in der Software, die nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit für unbefugten Zugriff, Änderung oder Vernichtung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern darstellen. Nitro stellt kritische Sicherheitslücken mit einem Produkt-Update für die aktuelle und vorherige Version von Nitro Pro und allen Cloud-Diensten in Übereinstimmung mit den Produkt-Updates und Sunset-Richtlinie vor.
- Unkritische Sicherheitslücken: Bei Problemen in der Software, die nicht behoben werden, handelt es sich um ein geringes bis mittleres Risiko und eine geringe Wahrscheinlichkeit für unbefugten Zugriff, Änderung oder Vernichtung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern. Nitro wird nicht nach eigenem Ermessen kritische Sicherheitslücken mit einem Produkt-Update nur auf die aktuelle Version von Nitro Pro und alle Cloud-Dienste in Übereinstimmung mit den Produkt-Updates und Sunset-Richtlinie behoben.
(3 ) Nitro entwirft, implementiert und testet einen Fix für alle kritischen Sicherheitslücken und stellt den Kunden ein Produkt-Update zur Verfügung, normalerweise innerhalb von90 Tage.
(4 ) Nitro wird alle kritischen Sicherheitsschwachstellen, betroffene Versionen und relevante Details von Produktupdates, die die Probleme beheben, auf dieser Nitro-Sicherheitsupdate-Seite öffentlich offenlegen. Nitro erkennt einzelne Sicherheitsforscher nicht öffentlich für ihre Einreichungen an.
Außerhalb des Geltungsbereichs liegende Sicherheitslücken
Die folgenden Themen fallen nicht in den Geltungsbereich dieses Richtlinien- und Prämienprogramms:
- Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
- Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
- Verwendung einer als angreifbar bekannten Bibliothek (ohne Nachweis der Ausnutzbarkeit).
- Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
- Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
- Inhalts-Spoofing und reine Textinjektions-Schwachstellen (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Sicherheitslücke, bei der ein Angreifer Bilder oder Rich Text (HTML) einschleusen kann, die jedoch nicht für ein Kopfgeld berechtigt sind.
- Nitro-Dienste, es sei denn, Sie können private IPs oder Nitro-Server erreichen.
Folgen der Einhaltung dieser Richtlinie
Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, wenn versehentlich und in gutem Glauben gegen diese Richtlinie verstoßen wird. Wir betrachten Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Computerbetrugs- und Missbrauchsgesetzes. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung gemäß dieser Richtlinie zu gestatten. Wir werden keinen DMCA-Anspruch gegen Sie wegen Umgehung der technischen Maßnahmen erheben, die wir zum Schutz der Anwendungen im Anwendungsbereich eingesetzt haben.
Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Richtlinie zu Sicherheitslücken und Bug-Bounty von Nitro eingehalten haben, wird Nitro Schritte unternehmen, um bekannt zu machen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.
Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an Verhaltensweisen beteiligen, die möglicherweise nicht mit dieser Richtlinie in Einklang stehen oder von dieser nicht angesprochen werden.
Das Kleingedruckte
Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, sind nicht prämienberechtigt. Nitro-Mitarbeiter und deren Familienmitglieder haben keinen Anspruch auf Prämien.
Um die Einführung von Bug-Bounty-Programmen zu fördern und einheitliche Best Practices für die Sicherheit in der gesamten Branche zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor und es steht Ihnen daher frei, sie für Ihre eigenen Zwecke zu kopieren und zu ändern.
Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com
-
Sicherheitsvorfall-Update
Im September30 ,2020 wurde Nitro von einem vereinzelten Sicherheitsvorfall mit eingeschränktem Zugriff auf Nitro-Datenbanken durch einen nicht autorisierten Dritten Kenntnis genommen.
Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensik-Experten eine Untersuchung ein. Die Untersuchung ist nun abgeschlossen und Nitro kann weitere Details mitteilen:
- Der Vorfall betraf den Zugriff auf spezielle Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und in erster Linie zur Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
- Für den kostenlosen Online-Konvertierungsservice von Nitro müssen Benutzer kein Nitro-Konto erstellen oder Nitro-Kunde werden. Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die die konvertierten Dateien geliefert werden.
- Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
- Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash- und Salted-Passwörter sowie Dokument-Metadaten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen umfasste Firmennamen, Titel und IP-Adressen.
- Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
- Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort von Legacy-Cloud-Diensten, die sich auf weniger als0 .0073 % der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der nicht autorisierte Dritte speziell darauf konzentriert hat, Daten im Zusammenhang mit Kryptowährung zu erhalten.
Als Nitro von diesem Vorfall erfuhr, führte Nitro für alle Benutzer eine erzwungene Passwortzurücksetzung durch, um die Kundenkonten weiter zu schützen. Darüber hinaus umfasst die allgemeine Anleitung zur Aufrechterhaltung einer guten Cyberhygiene:
- Regelmäßiges Ändern der Passwörter für Online-Konten, Verwendung eines separaten Passworts für das Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
- Versenden Sie niemals Passwörter für Online-Konten per E-Mail und bestätigen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
- Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, eine aktuelle Antivirensoftware installiert ist.
Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle . Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine bösartigen Aktivitäten festgestellt.
Nitro nimmt die Sicherheit der Daten unserer Kunden ernst und wir sind hier, um unsere Kunden auf jede hilfreiche Weise zu unterstützen. Wir ermutigen jeden, der Fragen hat, sich an incident@gonitro.com zu wenden.
Sicherheitsupdates