Originally published: 11/17/2017
Last updated: 11/17/2017
Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.
| Versiones afectadas | Vulnerabilidad | CVE |
|---|---|---|
| 11.0.6 and prior 10.5.9.14 and prior |
Existe una vulnerabilidad en la función Doc.SaveAs que podría ser aprovechada por un archivo PDF especialmente diseñado, con la consiguiente posibilidad de que el archivo se guarde fuera de la ruta especificada. |
CVE-2017-7442 |
| 11.0.6 and prior 10.5.9.14 and prior |
A vulnerability exists in the Doc.SaveAs function which could be exploited by a specially crafted PDF file, potentially leading to a URL launch taking place in conjunction with a Security Alert. |
CVE-2017-7442 |
Nitro recomienda que los usuarios de versiones para particulares actualicen su software a la última versión utilizando el siguiente instalador. Los clientes de versiones para empresas pueden comunicarse con el administrador de cuentas de Nitro para obtener acceso a cualquier corrección de seguridad y a las instrucciones de despliegue. Los clientes de versiones para grandes empresas que tienen un agente de atención personalizada a su disposición recibirán los detalles de las versiones actualizadas que solucionan los problemas.
| Versión actualizada | Disponibilidad |
|---|---|
| 11.0.8.470 | Actualice Nitro Pro 11 a la versión más reciente disponible aquí. |
| 10 | Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí. |
For more information, please contact the Nitro Security Team at security@gonitro.com
Fecha de publicación original: 27/09/2017
Última actualización: 27/09/2017
Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.
| Versiones afectadas | Vulnerabilidad | CVE |
|---|---|---|
| 11.0.5.271 y anteriores 10.5.9.14 y anteriores |
Vulnerabilidad de escritura en memoria que podía aprovecharse al abrir un archivo PDF elaborado de forma especial, con un campo Count específico, y que provocaba que la memoria se dañara y fallara. |
CVE pendiente |
| 11.0.5.271 y anteriores 10.5.9.14 y anteriores |
Vulnerabilidad de uso después de liberación (“use-after-free”) que podía aprovecharse al abrir un archivo PDF elaborado de forma especial, con una imagen JPEG2000 mal formada, y que provocaba que la memoria se dañara y fallara. |
CVE pendiente |
Nitro recomienda que los usuarios de versiones para particulares actualicen su software a la última versión utilizando el siguiente instalador. Los clientes de versiones para empresas pueden comunicarse con el administrador de cuentas de Nitro para obtener acceso a cualquier corrección de seguridad y a las instrucciones de despliegue. Los clientes de versiones para grandes empresas que tienen un agente de atención personalizada a su disposición recibirán los detalles de las versiones actualizadas que solucionan los problemas.
| Versión actualizada | Disponibilidad |
|---|---|
| 11.0.8.470 | Actualice Nitro Pro 11 a la versión más reciente disponible aquí. |
| 10 | Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí. |
For more information, please contact the Nitro Security Team at security@gonitro.com
Fecha de publicación original: 21/07/2017
Última actualización: 25/08/2017
Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.
| Versiones afectadas | Vulnerabilidad | CVE |
|---|---|---|
| 11.0.3.173 y anteriores 10.5.9.14 y anteriores |
Vulnerabilidad de escritura en memoria fuera de los límites (“out-of-bounds”) que podía aprovecharse al abrir un archivo PDF elaborado de forma especial y que provocaba que la memoria se dañara y fallara. |
CVE-2017-2796 |
| 11.0.3.173 y anteriores 10.5.9.14 y anteriores |
Una vulnerabilidad de desbordamiento de montón (“heap overflow”) que podía aprovecharse al abrir un archivo de imagen PCX elaborado de forma especial y que provocaba que la memoria se dañara y fallara. |
CVE-2017-7950 |
Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.
| Versión actualizada | Disponibilidad |
|---|---|
| 11.0.8.470 | Actualice Nitro Pro 11 a la versión más reciente disponible aquí. |
| 10 | Nitro no ha sido capaz de arreglar esta vulnerabilidad en Nitro Pro 10. Actualice a la versión más reciente de Nitro Pro 11 disponible aquí. |
For more information, please contact the Nitro Security Team at security@gonitro.com
Fecha de publicación original: 03/02/2017
Última actualización: 25/08/2017
Nitro ha lanzado una nueva versión de Nitro Pro que resuelve posibles vulnerabilidades de seguridad.
| Versiones afectadas | Vulnerabilidad | CVE |
|---|---|---|
| 11.0.3.134 y anteriores 10.5.9.9 y anteriores |
Un archivo PDF elaborado de forma especial puede provocar que la memoria se dañe y falle. |
CVE-2016-8709 CVE-2016-8713 |
| 11.0.3.134 y anteriores 10.5.9.9 y anteriores |
Posible vulnerabilidad de ejecución de código remoto en la funcionalidad de análisis de PDF de Nitro Pro. |
CVE-2016-8711 |
Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.
| Versión actualizada | Disponibilidad |
|---|---|
| 11.0.8.470 | Actualice Nitro Pro 11 a la versión más reciente disponible aquí. |
| 10.5.9.14+ | Actualice Nitro Pro 10 a la versión más reciente disponible aquí. |
For more information, please contact the Nitro Security Team at security@gonitro.com
El compromiso de Nitro con la seguridad de sus productos y servicios es un valor esencial. Nitro se enorgullece de haber requerido muy pocas actualizaciones de seguridad a lo largo del tiempo, gracias a su metodología proactiva en materia de diseño y pruebas de seguridad. La piedra angular de esta filosofía es nuestra manera de gestionar las vulnerabilidades de seguridad, especialmente las que nos comunican terceros.
Informar de una vulnerabilidad
Se debe informar de todas las vulnerabilidades de seguridad de Nitro al equipo de seguridad de Nitro enviando un mensaje de correo electrónico a security@gonitro.com. Indique la versión/compilación afectada y proporcione, de forma concisa y fácilmente comprensible, los pasos que se deben seguir para reproducir la vulnerabilidad e incluya un archivo de prueba de concepto. Si bien Nitro aprecia que se informe de errores y vulnerabilidades, no otorga recompensas ni reconocimientos por el envío de errores o vulnerabilidades de seguridad.
Tratamiento de vulnerabilidades de seguridad de Nitro
(1) Nitro acepta y evalúa cualquier vulnerabilidad comunicada de acuerdo con las instrucciones especificadas, normalmente en un plazo de siete días.
(2) Cuando se confirma la vulnerabilidad, Nitro lleva a cabo un análisis de riesgos mediante Common Vulnerability Scoring System (CVSS v3) y determina cuál es la respuesta más apropiada para nuestros clientes.
Actualizaciones de seguridad críticas: problemas dentro del software que, si no se solucionan, conllevan un riesgo elevado y una gran probabilidad de acceso no autorizado, alteración o destrucción de información en el ordenador de un usuario o en los ordenadores conectados. Nitro solucionará estos problemas proporcionando una actualización crítica para la versión de software actual y las anteriores, o una actualización importante para la versión actual o las versiones anteriores.
Actualizaciones de seguridad no críticas: problemas dentro del software que, si no se solucionan, conllevan un nivel de bajo a moderado de riesgo y probabilidad de acceso no autorizado, alteración o destrucción de información en el ordenador de un usuario o en los ordenadores conectados. Nitro solucionará estos problemas proporcionando una actualización menor o una actualización importante para la versión actual.
(3) Nitro diseña, implementa y prueba cualquier actualización de seguridad, y la pone a disposición de los clientes en las versiones de software compatibles, normalmente en un plazo de 90 días.
(4) Nitro comunica todas las vulnerabilidades de seguridad críticas, las versiones afectadas y los detalles pertinentes de cualquier versión actualizada que soluciona los problemas en esta página sobre actualizaciones de seguridad.
For more information, please contact the Nitro Security Team at security@gonitro.com