Menú
Hablar con el departamento comercial »

Security Updates

Originally published: 11/17/2017
Last updated: 11/17/2017

Actualizar

Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.

Versiones afectadas Vulnerabilidad CVE
11.0.6 and prior
10.5.9.14 and prior
Existe una vulnerabilidad en la función Doc.SaveAs que
podría ser aprovechada por un archivo PDF especialmente diseñado,
con la consiguiente posibilidad de que el archivo se guarde fuera
de la ruta especificada.
CVE-2017-7442
11.0.6 and prior
10.5.9.14 and prior
A vulnerability exists in the Doc.SaveAs function which
could be exploited by a specially crafted PDF file,
potentially leading to a URL launch taking place in
conjunction with a Security Alert.
CVE-2017-7442

Solución

Nitro recomienda que los usuarios de versiones para particulares actualicen su software a la última versión utilizando el siguiente instalador. Los clientes de versiones para empresas pueden comunicarse con el administrador de cuentas de Nitro para obtener acceso a cualquier corrección de seguridad y a las instrucciones de despliegue. Los clientes de versiones para grandes empresas que tienen un agente de atención personalizada a su disposición recibirán los detalles de las versiones actualizadas que solucionan los problemas.

Versión actualizada Disponibilidad
11.0.7.425 Actualice Nitro Pro 11 a la versión más reciente disponible aquí.
10 Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí.

For more information, please contact the Nitro Security Team at security@gonitro.com

Fecha de publicación original: 27/09/2017

Última actualización: 27/09/2017

Actualizar

Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.

Versiones afectadas Vulnerabilidad CVE
11.0.5.271 y anteriores
10.5.9.14 y anteriores
Vulnerabilidad de escritura en memoria que podía
aprovecharse al abrir un archivo PDF elaborado de forma especial, con
un campo Count específico, y que provocaba que la memoria se dañara y
fallara.
CVE pendiente
11.0.5.271 y anteriores
10.5.9.14 y anteriores
Vulnerabilidad de uso después de liberación (“use-after-free”) que podía
aprovecharse al abrir un archivo PDF elaborado de forma especial, con
una imagen JPEG2000 mal formada, y que provocaba que la memoria se dañara y
fallara.
CVE pendiente

Solución

Nitro recomienda que los usuarios de versiones para particulares actualicen su software a la última versión utilizando el siguiente instalador. Los clientes de versiones para empresas pueden comunicarse con el administrador de cuentas de Nitro para obtener acceso a cualquier corrección de seguridad y a las instrucciones de despliegue. Los clientes de versiones para grandes empresas que tienen un agente de atención personalizada a su disposición recibirán los detalles de las versiones actualizadas que solucionan los problemas.

Versión actualizada Disponibilidad
11.0.6.326 Actualice Nitro Pro 11 a la versión más reciente disponible aquí.
10 Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí.

For more information, please contact the Nitro Security Team at security@gonitro.com

Fecha de publicación original: 21/07/2017

Última actualización: 25/08/2017

Actualizar

Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.

Versiones afectadas Vulnerabilidad CVE
11.0.3.173 y anteriores
10.5.9.14 y anteriores
Vulnerabilidad de escritura en memoria fuera de los límites (“out-of-bounds”) que podía
aprovecharse al abrir un archivo
PDF elaborado de forma especial y que provocaba que la memoria se dañara y fallara.
CVE-2017-2796
11.0.3.173 y anteriores
10.5.9.14 y anteriores
Una vulnerabilidad de desbordamiento de montón (“heap overflow”) que podía
aprovecharse al abrir un archivo de imagen PCX
elaborado de forma especial y que provocaba que la memoria se dañara y fallara.
CVE-2017-7950

Solución

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Versión actualizada Disponibilidad
11.0.5.271+ Actualice Nitro Pro 11 a la versión más reciente disponible aquí.
10 Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí.

For more information, please contact the Nitro Security Team at security@gonitro.com

Fecha de publicación original: 03/02/2017

Última actualización: 25/08/2017

Actualizar

Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.

Versiones afectadas Vulnerabilidad CVE
11.0.3.134 y anteriores
10.5.9.9 y anteriores
Un archivo PDF elaborado de forma especial puede provocar
que la memoria se dañe y falle.
CVE-2016-8709
CVE-2016-8713
11.0.3.134 y anteriores
10.5.9.9 y anteriores
Posible vulnerabilidad de ejecución de código remoto en la funcionalidad de
análisis de PDF de Nitro Pro.
CVE-2016-8711

Solución

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Versión actualizada Disponibilidad
11.0.3.173+ Actualice Nitro Pro 11 a la versión más reciente disponible aquí.
10.5.9.14+ Actualice Nitro Pro 10 a la versión más reciente disponible aquí.

For more information, please contact the Nitro Security Team at security@gonitro.com

Política y tratamiento de vulnerabilidades de seguridad de Nitro

El compromiso de Nitro con la seguridad de sus productos y servicios es un valor esencial. Nitro se enorgullece de haber requerido muy pocas actualizaciones de seguridad a lo largo del tiempo, gracias a su metodología proactiva en materia de diseño y pruebas de seguridad. La piedra angular de esta filosofía es nuestra manera de gestionar las vulnerabilidades de seguridad, especialmente las que nos comunican terceros.

Informar de una vulnerabilidad

Se debe informar de todas las vulnerabilidades de seguridad de Nitro al equipo de seguridad de Nitro enviando un mensaje de correo electrónico a security@gonitro.com. Indique la versión/compilación afectada y proporcione, de forma concisa y fácilmente comprensible, los pasos que se deben seguir para reproducir la vulnerabilidad e incluya un archivo de prueba de concepto. Si bien Nitro aprecia que se informe de errores y vulnerabilidades, no otorga recompensas ni reconocimientos por el envío de errores o vulnerabilidades de seguridad.

Tratamiento de vulnerabilidades de seguridad de Nitro

(1) Nitro acepta y evalúa cualquier vulnerabilidad comunicada de acuerdo con las instrucciones especificadas, normalmente en un plazo de siete días.

(2) Cuando se confirma la vulnerabilidad, Nitro lleva a cabo un análisis de riesgos mediante Common Vulnerability Scoring System (CVSS v3) y determina cuál es la respuesta más apropiada para nuestros clientes.

  • Actualizaciones de seguridad críticas: problemas dentro del software que, si no se solucionan, conllevan un riesgo elevado y una gran probabilidad de acceso no autorizado, alteración o destrucción de información en el ordenador de un usuario o en los ordenadores conectados. Nitro solucionará estos problemas proporcionando una actualización crítica para la versión de software actual y las anteriores, o una actualización importante para la versión actual o las versiones anteriores.

  • Actualizaciones de seguridad no críticas: problemas dentro del software que, si no se solucionan, conllevan un nivel de bajo a moderado de riesgo y probabilidad de acceso no autorizado, alteración o destrucción de información en el ordenador de un usuario o en los ordenadores conectados. Nitro solucionará estos problemas proporcionando una actualización menor o una actualización importante para la versión actual.

(3) Nitro diseña, implementa y prueba cualquier actualización de seguridad, y la pone a disposición de los clientes en las versiones de software compatibles, normalmente en un plazo de 90 días.

(4) Nitro comunica todas las vulnerabilidades de seguridad críticas, las versiones afectadas y los detalles pertinentes de cualquier versión actualizada que soluciona los problemas en esta página sobre actualizaciones de seguridad.

For more information, please contact the Nitro Security Team at security@gonitro.com