Nitro PDF Pro für Windows
-
Letzte Aktualisierung:12/5/2024
Ursprünglich veröffentlicht:12/5/2023Update
Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.
Betroffene Version(en) Schwachstelle CVE Status Lösung Anerkennung Nitro PDF Pro für Windows 14.32 und früher
Lokale Privilegienausweitung N/A Gelöst Upgrades auf 14.34.1.0 N/A -
Letzte Aktualisierung:09/25/2024
Ursprünglich veröffentlicht:07/25/2023Update
Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.
Betroffene Version(en) Schwachstelle CVE Status Lösung Anerkennung Nitro PDF Pro für Windows 13.70.7.60 und früher
Nitro PDF Pro für Windows 14.18.1.41 und früher
Im MSI Installationsprogramm wurde eine Sicherheitslücke gefunden, die eine lokale Rechteausweitung ermöglichen könnte. CVE2024 -35288 Gelöst Führen Sie ein Upgrade auf Version 13durch.70.8.82+
Führen Sie ein Upgrade auf Version 14durch.26.0+
Sandro Einfeldt und Michael Baer, SEC Consult Vulnerability Lab Nitro Pro 13.70.7.60 und früher
Nitro Pro 14.18.1.41 und früher
Eine Schwachstelle in der Datenverarbeitung für XFA Dokument kann dazu führen, dass eine Datei an einem beliebigen Ort im Dateisystem des Benutzers gespeichert wird. CVE2024 -44079 Gelöst Führen Sie ein Upgrade auf Version 13durch.70.8.82+
Führen Sie ein Upgrade auf Version 14durch.27.0+
Jörn Henkel -
Letzte Aktualisierung:07/28/2023
Ursprünglich veröffentlicht:07/25/2023Update
Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro 13.70.4.50 und früher
Nitro Pro v14.1.2.47 – 14.5.0.11
Eine Sicherheitslücke in Artifex Ghostscript
In Artifex Ghostscript, das zum Rendern und Konvertieren von Dateien verwendet wird, wurde eine Sicherheitslücke festgestellt
CVE2023 -36664 Gelöst Upgrade auf v13.70.7.60
Upgrade auf v14.7.1.21 oder höher
-
Letzte Aktualisierung:03/16/2023
Ursprünglich veröffentlicht:03/16/2023Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 70. 2und früher Sicherheitslücke in der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek
In der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek, wurde eine Sicherheitslücke entdeckt.
CVE2022 -37434 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch. Nitro Pro13 v. 70. 2und früher OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“)
OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“) Diese Schwachstelle wurde durch ein Upgrade auf OpenSSL 1.1.1 t behoben.
CVE2023 -0286 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch. -
Letzte Aktualisierung:12/7/2022
Ursprünglich veröffentlicht:12/7/2022Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 70. 0und früher Ausführung beliebiger Befehle innerhalb der Anwendung
Es besteht eine Sicherheitslücke, bei der die Anwendung es ermöglicht, dass speziell gestaltete PDF-Dokumente beliebige Befehle innerhalb der Anwendung ausführen.
CVE2022 -46406 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch. -
Letzte Aktualisierung:10/25/2021
Ursprünglich veröffentlicht:10/25/2021Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 49und früher JavaScript local_file_path Sicherheitslücke nach Nutzung von Objekten
Ein speziell gestaltetes Dokument kann dazu führen, dass ein Objekt, das den Pfad zu einem Dokument enthält, zerstört und später wiederverwendet wird, was zu einer Use-afterfree-Sicherheitslücke führt, die zur Ausführung von Code im Kontext der Anwendung führen kann. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.
CVE2021 -21796 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 49und früher Doppelte kostenlose Sicherheitslücke in JavaScript TimeoutObject
Ein speziell gestaltetes Dokument kann dazu führen, dass ein Verweis auf ein Timeout-Objekt an zwei verschiedenen Orten gespeichert wird. Wenn das Dokument geschlossen ist, wird die Referenz zweimal veröffentlicht. Dies kann dazu führen, dass Code im Kontext der Anwendung ausgeführt wird. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.
CVE2021 -21797 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Letzte Aktualisierung:9/10/2021
Ursprünglich veröffentlicht:9/10/2021Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 47und früher Sicherheitslücke beim4 Lognet Parsing
Apache Log4 Net-Versionen vor2. 0. 10 deaktivieren Sie keine externen XML-Entitäten, wenn Sie4 Log-Netzkonfigurationsdateien analysieren. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die vom Angreifer kontrollierte4 Log-Net-Konfigurationsdateien akzeptieren.Wichtig: Um diesen Fix anzuwenden, führen Sie bitte ein Upgrade auf die Version der iManage Desktop-Anwendung durch10. 5oder neuer. Um zu verhindern, dass Dokumente schreibgeschützt werden, stellen Sie bitte sicher, dass alle Dokumente, die auf demselben Computer geöffnet wurden, geschlossen und EINGECHECKT sind.
CVE2018 -1285 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 47und früher JavaScript-Dokument. FlattenPages
Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Ausführung von Code im Kontext der Anwendung führen kann.CVE2021 -21798 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Update zum Sicherheitsvorfall
Im September30 wurde Nitro auf einen vereinzelten Sicherheitsvorfall aufmerksam, bei dem ein unbefugter Dritter den eingeschränkten Zugriff auf Nitro-Datenbanken beinhaltete.2020
Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensikexperten eine Untersuchung ein. Die Untersuchung ist jetzt abgeschlossen und Nitro kann Ihnen weitere Informationen geben:
- Der Vorfall betraf den Zugriff auf bestimmte Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und hauptsächlich für die Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
- Der kostenlose Online-Konvertierungsservice von Nitro erfordert nicht, dass Benutzer ein Nitro-Konto erstellen oder Nitro-Kunde werden. Die Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die konvertierte Dateien geliefert werden.
- Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
- Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash-Passwörter und gesalzene Passwörter sowie Metadaten von Dokumenten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen beinhaltete Firmennamen, Titel und IP-Adressen.
- Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
- Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort für veraltete Cloud-Dienste, die sich auf weniger als auswirken0. 0073% der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der unbefugte Dritte speziell auf die Beschaffung von Daten im Zusammenhang mit Kryptowährungen konzentriert hat.
Als Nitro von diesem Vorfall erfuhr, führte Nitro ein erzwungenes Zurücksetzen des Passworts für alle Benutzer durch, um die Kundenkonten weiter zu sichern. Darüber hinaus beinhalten die allgemeinen Leitlinien zur Aufrechterhaltung einer guten Cyberhygiene:
- Regelmäßige Änderung der Passwörter von Online-Konten, Verwendung eines separaten Passworts für Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
- Senden Sie niemals Passwörter für Online-Konten per E-Mail und überprüfen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
- Wenn möglich, aktivieren Sie die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, aktuelle Antivirensoftware installiert ist.
Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle. Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine böswilligen Aktivitäten verzeichnet.
Nitro nimmt die Sicherheit der Daten unserer Kunden ernst, und wir sind hier, um unsere Kunden auf jede Weise zu unterstützen, die hilfreich sein kann. Wir empfehlen jedem, der Fragen hat, sich an incident@gonitro.com zu wenden.
-
Letzte Aktualisierung:9/17/2020
Ursprünglich veröffentlicht:9/1/2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 19und früher Ganzzahlüberlauf beim Analysieren von Objektstreams
Beim Öffnen eines speziell erstellten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherfehler verursacht.CVE2020 -6113 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 22und früher App.LaunchURL JavaScript-Befehlsinjektion
Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.CVE2020 -25290 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Letzte Aktualisierung:9/1/2020
Ursprünglich veröffentlicht:9/1/2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro13 v. 22. 0. 414und früher XRefTable Entry Fehlendes Objekt — Verwenden Sie After Free
Beim Öffnen eines speziell erstellten, fehlerhaften PDF-Dokuments besteht eine Sicherheitslücke, die zu einem Zustand führen kann, in dem es nach Gebrauch nicht mehr verwendet werden kann.CVE2020 -6115 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 22. 0. 414und früher Indiziertes ColorSpace-Rendering — Pufferüberlauf
Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.CVE2020 -6116 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 22. 0. 414und früher ICC-basiertes ColorSpace-Rendering — Pufferüberlauf
Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.CVE2020 -6146 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. Nitro Pro13 v. 22. 0. 414und früher App.LaunchURL JavaScript-Befehlsinjektion
Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.Keine Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Letzte Aktualisierung:8/2/2020
Ursprünglich veröffentlicht:8/2/2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung Nitro Pro12 v. 16. 3. 574und früher
Nitro Sign ist nicht betroffen
Digitale Signatur „Schattenangriffe“
Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass zuvor ausgeblendeter Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.Keine Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Letzte Aktualisierung:5/8/2020
Ursprünglich veröffentlicht:5/8/2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE Status Lösung 13. 9. 1. 155und früher JavaScript-XML-Fehlerbehandlung — Zugriff auf einen nicht initialisierten Zeiger
Beim Öffnen eines speziell erstellten PDF-Dokuments besteht eine Sicherheitslücke, die zu einem uninitialisierten Speicherzugriff führen kann, was zu einer möglichen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.CVE2020 -6093 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. 13. 9. 1. 155und früher Verschachtelte PDF-Seiten — Verwenden Sie After Free
Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.CVE2020 -6074 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. 13. 13. 2. 242und früher PDF-Musterobjekt — Integer Overflow oder Wraparround
Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.CVE2020 -6092 Gelöst Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch. -
Letzte Aktualisierung:3/9/2020
Ursprünglich veröffentlicht:3/9/2020Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 13. 9und früher Haufenweise Korruption npdf.dll
Beim Öffnen eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
Sicherheitslücke durch Beschädigung von Heaps führen kann, wodurch Speicherinhalte offengelegt werden können.CVE2020 -10222 13. 9und früher Heap Corruption JBIG2 DecodeStream Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
Sicherheitslücke führen kann, die Speicherinhalte offenlegen kann.CVE2020 -10223 Lösung
Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13. 13. 2. 242 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Letzte Aktualisierung:1/9/2020
Ursprünglich veröffentlicht:10/31/2019Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 13. 6und früher Heap Corruption JPEG2000 SsizDepth Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
und zum Absturz der Anwendung führen kann. Die
Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.CVE2019 -5045 13. 6und früher Heap Corruption JPEG2000 YTSiz Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
und zum Absturz der Anwendung führen kann. Die
Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.CVE2019 -5046 13. 6und früher Verwenden Sie After Free CharProcs Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach Gebrauch
nicht verwendet werden kann und die Anwendung abstürzt.CVE2019 -5047 13. 6und früher Heap Corruption ICC-basierter Farbraum Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
und zum Absturz der Anwendung führen kann. Die
Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.CVE2019 -5048 13. 6und früher Heap Corruption Page Kids Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps
und zum Absturz der Anwendung führen kann. Die
Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.CVE2019 -5050 13. 8und früher Nach der Länge des kostenlosen Streams verwenden Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach
dem kostenlosen Gebrauch verwendet wird und die Anwendung abstürzt.CVE2019 -5053 Lösung
Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13. 9. 1. 155 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Letzte Aktualisierung:12/20/2019
Ursprünglich veröffentlicht:12/20/2019Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 12. 0. 0. 112und früher JBIG2 Decode Out-of-Bounds Read
Vulnerability Beim Öffnen eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim
Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.CVE2019 -19817 12. 0. 0. 112und früher JBIG2 Decode Out-of-Bounds Read
Vulnerability Beim Öffnen eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim
Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.CVE2019 -19818 12. 0. 0. 112und früher Nullzeiger-Deference-Schwachstelle von JBIG2 Global Beim Öffnen
eines speziell gestalteten
bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer
Nullzeiger-Deference-Schwachstelle und zum Absturz der Anwendung führen kann.CVE2019 -19819 12. 17. 0. 584und früher Temporäre Datei debug.log
Unter bestimmten Bedingungen (z. B. eine abgelaufene Testversion), eine temporäre
Datei" debug.log" kann im Nitro
Pro-Arbeitsverzeichnis erstellt werden. Diese Datei debug.log kann nach dem Schließen
der Anwendung auf normale Weise manipuliert werden.CVE2019 -19858 Lösung
Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.
Aktualisierte Version Verfügbarkeit 13. 8. 2. 140 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Letzte Aktualisierung:10/18/2019
Ursprünglich veröffentlicht:10/18/2019Update
Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Sicherheitslücken zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, haben wir die Richtigkeit der Behauptungen bewertet, den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung bewertet und (basierend auf unseren bestehenden proaktiven Verfahren zur Schwachstellenanalyse und -behandlung) die Sicherheitslücken dann in unsere Warteschlange zur Behebung gestellt.
Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen können Sie sich an security@gonitro.com wenden.
-
Letzte Aktualisierung:11/17/2017
Ursprünglich veröffentlicht:11/17/2017Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 11. 0. 6und davor
10. 5. 9. 14und früherIn der Funktion doc.SaveAs besteht eine Sicherheitslücke, die von einer speziell gestalteten PDF-Datei ausgenutzt werden
könnte, was
möglicherweise dazu führen kann, dass eine Datei außerhalb
des vorgesehenen Pfads geschrieben wird.CVE2017 -7442 11. 0. 6und davor
10. 5. 9. 14und früherIn der Funktion doc.SaveAs besteht eine Sicherheitslücke, die durch eine speziell gestaltete PDF-Datei ausgenutzt werden
könnte, was
möglicherweise dazu führen kann, dass eine URL in
Verbindung mit einer Sicherheitswarnung gestartet wird.CVE2017 -7442 Lösung
Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.
Aktualisierte Version Verfügbarkeit 11. 0. 8. 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist 10 Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist. Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Letzte Aktualisierung:9/27/2017
Ursprünglich veröffentlicht:9/27/2017Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 11. 0. 5. 271und davor
10. 5. 9. 14und früherEine Sicherheitslücke beim Schreiben im Speicher, die potenziell
ausgenutzt werden könnte, wenn eine speziell gestaltete PDF-Datei mit
einem bestimmten Count-Feld geöffnet wird, was zu Speicherbeschädigung und
einem Absturz führt.CVE steht noch aus 11. 0. 5. 271und davor
10. 5. 9. 14und früherEs besteht eine Use-After-Free-Sicherheitslücke, die potenziell ausgenutzt
werden kann, wenn eine speziell gestaltete PDF-Datei geöffnet wird,
die ein fehlerhaftes2000 JPEG-Bild enthält, was zu
Speicherbeschädigung und einem Absturz führt.CVE steht noch aus Lösung
Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.
Aktualisierte Version Verfügbarkeit 11. 0. 8. 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist 10 Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist. Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Ursprünglich veröffentlicht:7/21/2017
Letzte Aktualisierung:8/25/2017
Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 11. 0. 3. 173und davor
10. 5. 9. 14und früherEine Sicherheitslücke beim Schreiben außerhalb des gebundenen Speichers, die
potenziell ausgenutzt werden könnte, wenn eine speziell gestaltete
PDF-Datei geöffnet wird, was zu Speicherbeschädigung und einem Absturz führt.CVE2017 -2796 11. 0. 3. 173und davor
10. 5. 9. 14und früherEine Heap-Overflow-Schwachstelle, die möglicherweise
ausgenutzt werden könnte, wenn eine speziell gestaltete
PCX-Image-Datei geöffnet wird, was zu einer Speicherbeschädigung und einem Absturz führen könnte.CVE2017 -7950 Lösung
Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.
Aktualisierte Version Verfügbarkeit 11. 0. 8. 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist 10 Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist. Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Ursprünglich veröffentlicht:2/3/2017
Letzte Aktualisierung:8/25/2017
Update
Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.
Betroffene Versionen Schwachstelle CVE 11. 0. 3. 134und davor
10. 5. 9. 9und früherEine speziell gestaltete PDF-Datei kann möglicherweise zu
Speicherfehlern führen, die zu einem Absturz führen.CVE-2016 -8709
CVE-2016 -871311. 0. 3. 134und davor
10. 5. 9. 9und früherEine potenzielle Sicherheitslücke bei der Remote-Codeausführung in der
PDF-Parsing-Funktionalität von Nitro Pro.CVE2016 -8711 Lösung
Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.
Aktualisierte Version Verfügbarkeit 11. 0. 8. 470 Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist 10. 5. 9. 14+ Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com
-
Nitro Security Vulnerability& Bug Bounty Policy
Richtlinie
Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Die Sicherheit von Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir freuen uns über den Beitrag externer Sicherheitsforscher und freuen uns darauf, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.
Prämien
Nitro belohnt nach eigenem Ermessen akzeptierte Schwachstellenberichte. Unsere Mindestprämie ist eine Amazon-Geschenkkarte im Wert von $25 USD. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität des Berichts variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar, ob eine Prämie gewährt werden sollte, festzulegen.
Anwendungen im Geltungsbereich
Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen kommen für das Bounty-Programm in Frage. Darüber hinaus sind auch alle cloudbasierten Partnerplattformanwendungen berechtigt (z. B. Nitro File Actions). Wir können immer noch alles belohnen, was erhebliche Auswirkungen auf unsere gesamte Sicherheitslage hat. Deshalb empfehlen wir Ihnen, solche Sicherheitslücken über dieses Programm zu melden.
&Voraussetzungen für die Meldung von Sicherheitslücken
Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Entdeckung und Meldung von Sicherheitslücken zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:
- Teilen Sie uns das Sicherheitsproblem ausführlich mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Sicherheitslücke, die leicht verständlich sind, Informationen über die tatsächlichen und potenziellen Auswirkungen der Sicherheitslücke und Einzelheiten darüber, wie sie ausgenutzt werden könnte;
- Fügen Sie eine Machbarkeitsstudie bei;
- Bitte respektieren Sie unsere bestehenden Anwendungen. Das Versenden von Formularen mithilfe automatisierter Schwachstellenscanner führt nicht zu einer Prämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
- Geben Sie uns eine angemessene Zeit, um auf das Problem zu antworten, bevor Sie Informationen darüber veröffentlichen;
- Greifen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zu und ändern Sie sie nicht, ohne die ausdrückliche Genehmigung des Eigentümers. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten zu Sicherheitsforschungszwecken;
- Kontaktieren Sie uns sofort, falls Sie versehentlich auf Benutzerdaten stoßen. Sehen, ändern, speichern, speichern, übertragen oder greifen Sie nicht auf andere Weise auf die Daten zu und löschen Sie sofort alle lokalen Informationen, nachdem Sie Nitro die Sicherheitslücke gemeldet haben.
- Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Zerstörung von Daten und Unterbrechungen oder Beeinträchtigungen unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
- Ansonsten halten Sie sich an alle geltenden Gesetze.
Wir belohnen nur den ersten, der eine Sicherheitslücke gemeldet hat. Die öffentliche Offenlegung der Sicherheitslücke vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosen oder störenden Verhaltens vom Programm zu disqualifizieren.
Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. werden wir den Auszahlungsbetrag nicht aushandeln, wenn angedroht wird, die Sicherheitslücke zurückzuhalten oder die Sicherheitslücke oder andere offengelegte Daten der Öffentlichkeit zugänglich zu machen).
Prozess zur Sicherheitslücke:
(1) Nitro wird jede Schwachstelle, die gemäß den obigen Anweisungen gemeldet wurde, anerkennen und bewerten, in der Regel innerhalb weniger7 Tage.
(2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro eine Risikoanalyse mithilfe des Common Vulnerability Scoring System (CVSS v3) durch und ermittelt die für Nitro-Kunden am besten geeignete Reaktion.
- Kritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den verbundenen Computern darstellen. Nitro wird kritische Sicherheitslücken mit einem Produktupdate für die aktuelle und vorherige Version von Nitro Pro und alle Cloud-Dienste gemäß der &Sunset Policy für Produktupdates beheben.
- Nichtkritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein geringes bis mäßiges Risiko und die Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den angeschlossenen Computern darstellen. Nitro wird nach eigenem Ermessen nicht kritische Sicherheitslücken ausschließlich mit einem Produktupdate auf die aktuelle Version von Nitro Pro und allen Cloud-Diensten gemäß der &Sunset Policy für Produktupdates beheben.
(3) Nitro wird eine Lösung für alle kritischen Sicherheitslücken entwerfen, implementieren,& testen und Kunden in der Regel innerhalb weniger90 Tage ein Produktupdate zur Verfügung stellen.
(4) Nitro wird alle kritischen Sicherheitslücken, betroffene Versionen und relevante Details zu Produktupdates, die die Probleme beheben, auf dieser Nitro-Seite mit Sicherheitsupdates veröffentlichen. Nitro würdigt einzelne Sicherheitsforscher nicht öffentlich für ihre Beiträge.
Sicherheitslücken, die außerhalb des Geltungsbereichs liegen
Die folgenden Probleme fallen nicht in den Geltungsbereich dieses& Policy-Prämienprogramms:
- Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen.
- Fehlende bewährte Methoden (wir benötigen den Nachweis einer Sicherheitslücke).
- Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Hinweise auf eine Ausnutzbarkeit).
- Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
- Berichte über unsichere SSL-/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Machbarkeitsnachweis und nicht nur einen Bericht von einem Scanner).
- Sicherheitslücken bei Inhalts-Spoofing und reiner Textinjektion (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Schwachstelle, bei der Angreifer Bilder oder Rich Text (HTML) injizieren können, aber dafür gibt es kein Bounty.
- Nitro-Dienste, sofern Sie nicht in der Lage sind, private IPs oder Nitro-Server zu erreichen.
Konsequenzen der Einhaltung dieser Richtlinie
Wir werden keine Zivilklage einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten gemäß dem Gesetz über Computerbetrug und -missbrauch. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Nutzungsrichtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsforschung im Rahmen dieser Richtlinie zuzulassen. Wir werden keine DMCA-Klage gegen Sie erheben, weil Sie die technischen Maßnahmen, die wir zum Schutz der Anwendungen getroffen haben, umgangen haben.
Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Security Vulnerability& Bug Bounty Policy von Nitro eingehalten haben, wird Nitro Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.
Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an einem Verhalten beteiligen, das möglicherweise nicht mit dieser Richtlinie vereinbar ist oder in dieser Richtlinie nicht behandelt wird.
Das Kleingedruckte
Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, kommen nicht für Prämien in Frage. Nitro-Mitarbeiter und ihre Familienmitglieder haben keinen Anspruch auf Prämien.
Um die Einführung von Bug-Bounty-Programmen zu fördern und branchenweit einheitliche bewährte Sicherheitsverfahren zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor, sodass Sie sie für Ihre eigenen Zwecke kopieren und ändern können.
Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com