Sicherheitsupdates
    • Letzte Aktualisierung:9 /10 /2021
      Ursprünglich veröffentlicht:9 /10 /2021

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVEStatusSolution
      Nitro Pro v13 .47 und früher

      Log4net parsing vulnerability
      Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.

      Important: To apply this fix, please upgrade to the iManage Desktop application of version 10.5 or newer. In order to avoid documents becoming read-only, please ensure that all documents opened on the same machine are closed and CHECKED IN.

      Lebenslauf-2018 -1285EntschlossenUpgrade to the latest version of Nitro Pro
      Nitro Pro v13 .47 und früherJavaScript document.flattenPages
      A vulnerability exists when opening a specially-crafted PDF document containing JavaScript which can lead to code execution under the context of the application.
      Lebenslauf-2021 -21798EntschlossenUpgrade to the latest version of Nitro Pro
    • Letzte Aktualisierung:9 /17 /2020
      Ursprünglich veröffentlicht:9 /1 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVEStatusSolution
      Nitro Pro v13 .19 und früherGanzzahlüberlauf beim Parsen des Objektstroms
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherbeschädigungen verursacht.
      Lebenslauf-2020 -6113EntschlossenUpgrade to the latest version of Nitro Pro
      Nitro Pro v13 .22 und früherapp.launchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kann.
      Lebenslauf-2020 -25290EntschlossenUpgrade to the latest version of Nitro Pro
    • Letzte Aktualisierung:9 /1 /2020
      Ursprünglich veröffentlicht:9 /1 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVEStatusSolution
      Nitro Pro v13 .22 .0 .414 und früherXRefTable-Eintrag fehlt Objekt – Verwenden Sie nach Free
      Beim Öffnen eines speziell gestalteten, fehlerhaften PDF-Dokuments liegt eine Sicherheitslücke vor, die zu einem Use-After-Free-Zustand führen kann.
      Lebenslauf-2020 -6115EntschlossenUpgrade to the latest version of Nitro Pro
      Nitro Pro v13 .22 .0 .414 und früherIndiziertes ColorSpace-Rendering – Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.
      Lebenslauf-2020 -6116EntschlossenUpgrade to the latest version of Nitro Pro
      Nitro Pro v13 .22 .0 .414 und früherICC-basiertes ColorSpace-Rendering – Pufferüberlauf
      Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf mit Speicherbeschädigung führen kann.
      Lebenslauf-2020 -6146EntschlossenUpgrade to the latest version of Nitro Pro
      Nitro Pro v13 .22 .0 .414 und früherapp.launchURL JavaScript-Befehlsinjektion
      Beim Öffnen eines speziell gestalteten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Befehlsinjektion führen kann
      KeineEntschlossenUpgrade to the latest version of Nitro Pro
    • Letzte Aktualisierung:8 /2 /2020
      Ursprünglich veröffentlicht:8 /2 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVEStatusSolution

      Nitro Pro v12 .16 .3 .574 und früher

      Nitro Sign is not affected

      Digitale Signatur „Schattenangriffe“
      Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die dazu führen kann, dass zuvor verborgener Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
      Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.
      KeineEntschlossenUpgrade to the latest version of Nitro Pro
    • Letzte Aktualisierung:5 /8 /2020
      Ursprünglich veröffentlicht:5 /8 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVEStatusSolution
      13.9 .1 .155 und früherJavaScript XML-Fehlerbehandlung – Zugriff von nicht initialisierten Zeigern
      Beim Öffnen eines speziell gestalteten PDF-Dokuments besteht eine Sicherheitsanfälligkeit, die einen nicht initialisierten Speicherzugriff verursachen kann, der zu einer potenziellen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6093EntschlossenUpgrade to the latest version of Nitro Pro
      13.9 .1 .155 und früherVerschachtelte PDF-Seiten – Nach der kostenlosen Verwendung
      Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6074EntschlossenUpgrade to the latest version of Nitro Pro
      13.13 .2 .242 und früherPDF-Musterobjekt – Integer Overflow oder Wraparound
      Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu unzulässigem Schreibzugriff mit der Möglichkeit zur Beschädigung des Speichers führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine schädliche Datei öffnen.
      Lebenslauf-2020 -6092EntschlossenUpgrade to the latest version of Nitro Pro
    • Letzte Aktualisierung:3 /9 /2020
      Ursprünglich veröffentlicht:3 /9 /2020

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      13.9 und vorHeap Korruption npdf.dll
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
      Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.
      Lebenslauf-2020 -10222
      13.9 und vorHaufen Korruption JBIG2 DecodeStream
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Heap-Beschädigung führen kann
      Sicherheitslücke mit dem Potenzial, den Inhalt des Speichers offenzulegen.
      Lebenslauf-2020 -10223

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 13 . 2 . 242Please update to the latest version of Nitro Pro 13 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Letzte Aktualisierung:1 /9 /2020
      Ursprünglich veröffentlicht:10 /31 /2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      13.6 und vorHeap Korruption JPEG2000 ssizDepth
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5045
      13.6 und vorHeap Korruption JPEG2000 yTsiz
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5046
      13.6 und vorNach kostenlosen CharProcs verwenden
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
      Zustand und die Anwendung stürzt ab.
      Lebenslauf-2019 -5047
      13.6 und vorHeap Corruption ICC-basierter Farbraum
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5048
      13.6 und vorHaufen Korruption Seite Kinder
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu Heap-Korruption führen kann
      und die Anwendung stürzt ab. Beliebiger Fernbedienungscode
      Ausführung ist nicht nachgewiesen, aber möglich.
      Lebenslauf-2019 -5050
      13.8 und vorNach der kostenlosen Stream-Länge verwenden
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einer Verwendung nach der freien Nutzung führen kann
      Zustand und die Anwendung stürzt ab.
      Lebenslauf-2019 -5053

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 9 . 1 . 155Please update to the latest version of Nitro Pro 13 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Letzte Aktualisierung:12 /20 /2019
      Ursprünglich veröffentlicht:12 /20 /2019

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      12.0 .0 .112 und vorJBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
      Lese-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19817
      12.0 .0 .112 und vorJBIG2 Sicherheitsanfälligkeit beim Decodieren außerhalb der Grenzen des Lesens
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Out-of-bounds führen kann
      Lese-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19818
      12.0 .0 .112 und vorJBIG2 Globals Null Pointer Deference-Schwachstelle
      Beim Öffnen eines speziell gestalteten
      bösartiges PDF-Dokument, das zu einem Nullzeiger führen kann
      Deference-Schwachstelle und Absturz der Anwendung.
      Lebenslauf-2019 -19819
      12.17 .0 .584 und vorTemporäre debug.log-Datei
      Unter bestimmten Bedingungen (z. B. einer abgelaufenen Testversion)
      Datei "debug.log" kann in der Nitro Pro Arbeitsumgebung erstellt werden
      Verzeichnis. Diese debug.log-Datei kann danach manipuliert werden
      die Anwendung wird wie gewohnt geschlossen.
      Lebenslauf-2019 -19858

      Solution

      Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      13 . 8 . 2 . 140Please update to the latest version of Nitro Pro 13 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Letzte Aktualisierung:10 /18 /2019
      Ursprünglich veröffentlicht:10 /18 /2019

      Update

      Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Schwachstellen zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, bewerteten wir die Richtigkeit der Behauptungen, bewerteten den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung und (basierend auf unseren bestehenden proaktiven Schwachstellenanalyse- und Behandlungsverfahren) stellen wir die Schwachstellen dann in unsere Behebungswarteschlange.

      Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen wenden Sie sich bitte an security@gonitro.com.

    • Letzte Aktualisierung:11 /17 /2017
      Ursprünglich veröffentlicht:11 /17 /2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .6 und vor
      10 .5 .9 .14 und vor
      In der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
      könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
      Dies führt möglicherweise dazu, dass ein File Write außerhalb stattfindet
      des vorgesehenen Weges.
      Lebenslauf-2017 -7442
      11.0 .6 und vor
      10 .5 .9 .14 und vor
      In der Funktion Doc.SaveAs liegt eine Schwachstelle vor, die
      könnte durch eine speziell gestaltete PDF-Datei ausgenutzt werden,
      Dies führt möglicherweise zu einem URL-Launch in
      in Verbindung mit einer Sicherheitswarnung.
      Lebenslauf-2017 -7442

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Please update to the latest version of Nitro Pro 11 available here
      10Nitro is unable to fix this vulnerability in Nitro Pro 13. Please upgrade to the latest version of Nitro Pro 11 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Letzte Aktualisierung:9 /27 /2017
      Ursprünglich veröffentlicht:9 /27 /2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .5 .271 und vor
      10 .5 .9 .14 und vor
      Eine Schwachstelle beim Speicherschreiben, die möglicherweise potentially
      beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt, mit
      ein bestimmtes Count-Feld, das zu Speicherbeschädigungen führt und
      ein Unfall. 
      CVE ausstehend
      11.0 .5 .271 und vor
      10 .5 .9 .14 und vor
      Es liegt eine Use-after-free-Schwachstelle vor, die potenziell
      beim Öffnen einer speziell gestalteten PDF-Datei ausgenutzt werden
      ein fehlerhaftes JPEG enthalten2000 Bild, führt zu
      Speicherbeschädigung und ein Absturz.
      CVE ausstehend

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Please update to the latest version of Nitro Pro 11 available here
      10Nitro is unable to fix this vulnerability in Nitro Pro 13. Please upgrade to the latest version of Nitro Pro 11 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Ursprünglich veröffentlicht:7 /21 /2017

      Letzte Aktualisierung: 8 / 25 / 2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .3 .173 und vor
      10 .5 .9 .14 und vor
      Eine Schwachstelle beim Schreiben außerhalb des Boundary-Speichers, die
      potenziell ausgenutzt werden, wenn ein speziell angefertigtes . geöffnet wird
      PDF-Datei, was zu Speicherbeschädigung und einem Absturz führt.
      Lebenslauf-2017 -2796
      11.0 .3 .173 und vor
      10 .5 .9 .14 und vor
      Eine Heap-Overflow-Schwachstelle, die potenziell
      beim Öffnen eines speziell gestalteten PCX-Images ausgenutzt
      Datei, was zu Speicherbeschädigung und einem Absturz führt.
      Lebenslauf-2017 -7950

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Please update to the latest version of Nitro Pro 11 available here
      10Nitro is unable to fix this vulnerability in Nitro Pro 13. Please upgrade to the latest version of Nitro Pro 11 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Ursprünglich veröffentlicht:2 /3 /2017

      Letzte Aktualisierung: 8 / 25 / 2017

      Update

      Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

      Betroffene VersionenSchwachstelleCVE
      11.0 .3 .134 und vor
      10 .5 .9 .9 und vor
      Eine speziell erstellte PDF-Datei kann möglicherweise zu
      Speicherbeschädigung, die zu einem Absturz führt.
      Lebenslauf-2016 -8709
      Lebenslauf-2016 -8713
      11.0 .3 .134 und vor
      10 .5 .9 .9 und vor
      Eine potenzielle Sicherheitsanfälligkeit bezüglich Remotecodeausführung im
      PDF-Parsing-Funktionalität von Nitro Pro.
      Lebenslauf-2016 -8711

      Solution

      Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

      Aktualisierte VersionVerfügbarkeit
      11 . 0 . 8 . 470Please update to the latest version of Nitro Pro 11 available here
      10.5 .9 .14 +Please update to the latest version of Nitro Pro 13 available here

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Nitro Security Vulnerability & Bug Bounty Policy

      Politik

      Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Der Schutz der Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

      Belohnungen

      Nitro stellt nach eigenem Ermessen Belohnungen für akzeptierte Schwachstellenberichte bereit. Unsere Mindestprämie beträgt $25 USD Amazon-Geschenkkarte. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität der Meldung variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar die Gewährung einer Prämie zu bestimmen.

      Anwendungen im Geltungsbereich

      Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen sind für das Bounty-Programm berechtigt. Darüber hinaus sind alle Cloud-basierten Partnerplattformanwendungen ebenfalls berechtigt (z. B. Nitro File Actions). Wir können dennoch alles mit erheblichen Auswirkungen auf unsere gesamte Sicherheitslage belohnen, daher empfehlen wir Ihnen, solche Schwachstellen über dieses Programm zu melden.

      Berichterstattung und Berechtigung zu Sicherheitslücken

      All Nitro security vulnerabilities should be reported via email to the Nitro Security Team at security@gonitro.com. To promote the discovery and reporting of vulnerabilities and increase user safety, we ask that you:

      • Teilen Sie uns das Sicherheitsproblem im Detail mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Schwachstelle, die leicht verständlich sind, Informationen zu den tatsächlichen und potenziellen Auswirkungen der Schwachstelle und Details dazu, wie sie ausgenutzt werden könnte;
      • Fügen Sie eine Proof-of-Concept-Datei hinzu;
      • Bitte respektieren Sie unsere bestehenden Anwendungen. Das Spammen von Formularen durch automatisierte Schwachstellen-Scanner führt zu keiner Kopfgeldprämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
      • Geben Sie uns eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
      • Greifen Sie ohne ausdrückliche Zustimmung des Eigentümers nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie. Interagieren Sie nur zu Sicherheitsforschungszwecken mit Ihren eigenen Konten oder Testkonten;
      • Kontaktieren Sie uns umgehend, wenn Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht anzeigen, ändern, speichern, speichern, übertragen oder auf andere Weise darauf zugreifen und alle lokalen Informationen sofort löschen, wenn Nitro die Sicherheitslücke gemeldet wird;
      • Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Datenvernichtung und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
      • Ansonsten alle geltenden Gesetze einhalten.

      Wir belohnen nur den ersten Melder einer Schwachstelle. Die öffentliche Offenlegung der Sicherheitsanfälligkeit vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosem oder störendem Verhalten vom Programm auszuschließen.

      Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. verhandeln wir den Auszahlungsbetrag nicht unter Androhung der Zurückhaltung der Schwachstelle oder der Androhung der Offenlegung der Schwachstelle oder offengelegter Daten an die Öffentlichkeit).

      Sicherheitslückenprozess:

      (1 ) Nitro wird jede gemeldete Schwachstelle gemäß den obigen Anweisungen anerkennen und bewerten, normalerweise innerhalb von7 Tage.

      (2 ) Wenn eine Schwachstelle bestätigt wird, führt Nitro eine Risikoanalyse mit dem Common Vulnerability Scoring System (CVSS v3 ) und bestimmen Sie die am besten geeignete Reaktion für Nitro-Kunden.

      • Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a high risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro will resolve critical security vulnerabilities with a Product Update to the Current and Previous Release of Nitro Pro, and all cloud services, according to the Product Updates & Sunset Policy.
      • Non-Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a low to moderate risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro at its discretion, will resolve Non-Critical Security Vulnerabilities with a Product Update to the Current Release of Nitro Pro only, and all cloud services according to the Product Updates & Sunset Policy.

      (3 ) Nitro entwirft, implementiert und testet einen Fix für alle kritischen Sicherheitslücken und stellt den Kunden ein Produkt-Update zur Verfügung, normalerweise innerhalb von90 Tage.

      (4 ) Nitro wird alle kritischen Sicherheitsschwachstellen, betroffene Versionen und relevante Details von Produktupdates, die die Probleme beheben, auf dieser Nitro-Sicherheitsupdate-Seite öffentlich offenlegen. Nitro erkennt einzelne Sicherheitsforscher nicht öffentlich für ihre Einreichungen an.

      Außerhalb des Geltungsbereichs liegende Sicherheitslücken

      Die folgenden Themen fallen nicht in den Geltungsbereich dieses Richtlinien- und Prämienprogramms:

      • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
      • Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
      • Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
      • Verwendung einer als angreifbar bekannten Bibliothek (ohne Nachweis der Ausnutzbarkeit).
      • Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
      • Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
      • Inhalts-Spoofing und reine Textinjektions-Schwachstellen (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Sicherheitslücke, bei der ein Angreifer Bilder oder Rich Text (HTML) einschleusen kann, die jedoch nicht für ein Kopfgeld berechtigt sind.
      • Nitro-Dienste, es sei denn, Sie können private IPs oder Nitro-Server erreichen.

      Folgen der Einhaltung dieser Richtlinie

      Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, wenn versehentlich und in gutem Glauben gegen diese Richtlinie verstoßen wird. Wir betrachten Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Computerbetrugs- und Missbrauchsgesetzes. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung gemäß dieser Richtlinie zu gestatten. Wir werden keinen DMCA-Anspruch gegen Sie wegen Umgehung der technischen Maßnahmen erheben, die wir zum Schutz der Anwendungen im Anwendungsbereich eingesetzt haben.

      Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Richtlinie zu Sicherheitslücken und Bug-Bounty von Nitro eingehalten haben, wird Nitro Schritte unternehmen, um bekannt zu machen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

      Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an Verhaltensweisen beteiligen, die möglicherweise nicht mit dieser Richtlinie in Einklang stehen oder von dieser nicht angesprochen werden.

      Das Kleingedruckte

      Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, sind nicht prämienberechtigt. Nitro-Mitarbeiter und deren Familienmitglieder haben keinen Anspruch auf Prämien.

      Um die Einführung von Bug-Bounty-Programmen zu fördern und einheitliche Best Practices für die Sicherheit in der gesamten Branche zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor und es steht Ihnen daher frei, sie für Ihre eigenen Zwecke zu kopieren und zu ändern.

      For more information, please contact the Nitro Security Team at security@gonitro.com

    • Sicherheitsvorfall-Update

      Im September30 ,2020 wurde Nitro von einem vereinzelten Sicherheitsvorfall mit eingeschränktem Zugriff auf Nitro-Datenbanken durch einen nicht autorisierten Dritten Kenntnis genommen.

      Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensik-Experten eine Untersuchung ein. Die Untersuchung ist nun abgeschlossen und Nitro kann weitere Details mitteilen:

      • Der Vorfall betraf den Zugriff auf spezielle Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und in erster Linie zur Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
      • Für den kostenlosen Online-Konvertierungsservice von Nitro müssen Benutzer kein Nitro-Konto erstellen oder Nitro-Kunde werden. Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die die konvertierten Dateien geliefert werden.
      • Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
      • Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash- und Salted-Passwörter sowie Dokument-Metadaten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen umfasste Firmennamen, Titel und IP-Adressen.
      • Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
      • Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort von Legacy-Cloud-Diensten, die sich auf weniger als0 .0073 % der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der nicht autorisierte Dritte speziell darauf konzentriert hat, Daten im Zusammenhang mit Kryptowährung zu erhalten.

      Als Nitro von diesem Vorfall erfuhr, führte Nitro für alle Benutzer eine erzwungene Passwortzurücksetzung durch, um die Kundenkonten weiter zu schützen. Darüber hinaus umfasst die allgemeine Anleitung zur Aufrechterhaltung einer guten Cyberhygiene:

      • Regelmäßiges Ändern der Passwörter für Online-Konten, Verwendung eines separaten Passworts für das Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
      • Never emailing passwords for online accounts and confirming if online accounts are secure by visiting https://haveibeenpwned.com/.
      • Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, eine aktuelle Antivirensoftware installiert ist.

      Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle . Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine bösartigen Aktivitäten festgestellt.

      Nitro takes the safety and security of our customers’ data seriously, and we are here to support our customers in any way that may be helpful. We encourage anyone with questions to contact incident@gonitro.com.

Content-Bibliothek

Der Nitro-Produktivitätsbericht für 2022

Learn how the pandemic has transformed productivity, workflows and digital initiatives, as well as the trends and technologies shaping work in 2022 and beyon.
Portions of this page translated by Google.