Menu
Contact Sales »

Security Updates

Originally published: 11/17/2017
Last updated: 11/17/2017

Mettre à jour

Nitro propose une nouvelle version de Nitro Pro, qui met un terme aux éventuelles vulnérabilités liées à la sécurité.

Versions concernées Vulnérabilité CVE
11.0.6 and prior
10.5.9.14 and prior
Une vulnérabilité liée à la fonction « Enregistrer sous » des documents
pourrait être exploitée par un fichier PDF conçu de manière spécifique
et mener potentiellement à l’écriture d’un fichier dans un dossier ne correspondant pas
au chemin d’accès souhaité.
CVE-2017-7442
11.0.6 and prior
10.5.9.14 and prior
A vulnerability exists in the Doc.SaveAs function which
could be exploited by a specially crafted PDF file,
potentially leading to a URL launch taking place in
conjunction with a Security Alert.
CVE-2017-7442

Solution

Nitro recommande aux utilisateurs individuels (personnels) de mettre à jour leur logiciel vers la toute dernière version, décrite ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux instructions liées au déploiement et aux mises à jour de sécurité. Les clients grands comptes gérés par un responsable de la relation client recevront des informations sur les mises à jour destinées à corriger les problèmes.

Version mise à jour Disponibilité
11.0.7.425 Passez à la toute dernière version de Nitro Pro 11, disponible ici.
10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 10. Veuillez effectuer une mise à niveau pour obtenir la toute dernière version de Nitro Pro 11, disponible ici

For more information, please contact the Nitro Security Team at security@gonitro.com

Date de publication d'origine : 27/9/2017

Date de la dernière mise à jour : 27/9/2017

Mettre à jour

Nitro propose une nouvelle version de Nitro Pro, qui met un terme aux éventuelles vulnérabilités liées à la sécurité.

Versions concernées Vulnérabilité CVE
11.0.5.271 et versions antérieures,
10.5.9.14 et versions antérieures
Vulnérabilité liée à l'écriture en mémoire susceptible d'être
exploitée lors de l'ouverture d'un fichier PDF spécialement créé, avec
un champ Compte spécifique, qui entraîne une corruption de la mémoire et
un plantage.
CVE en attente
11.0.5.271 et versions antérieures,
10.5.9.14 et versions antérieures
Vulnérabilité survenant après le passage en mode payant du logiciel
, susceptible d'être exploitée lors de l'ouverture d'un fichier PDF
spécialement créé qui contient une image JPEG2000 mal formée, et qui entraîne
une corruption de la mémoire et un plantage.
CVE en attente

Solution

Nitro recommande aux utilisateurs individuels (personnels) de mettre à jour leur logiciel vers la toute dernière version, décrite ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux instructions liées au déploiement et aux mises à jour de sécurité. Les clients grands comptes gérés par un responsable de la relation client recevront des informations sur les mises à jour destinées à corriger les problèmes.

Version mise à jour Disponibilité
11.0.6.326 Passez à la toute dernière version de Nitro Pro 11, disponible ici.
10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 10. Veuillez effectuer une mise à niveau pour obtenir la toute dernière version de Nitro Pro 11, disponible ici

For more information, please contact the Nitro Security Team at security@gonitro.com

Date de publication d'origine : 21/07/2017

Date de la dernière mise à jour : 25/08/2017

Mettre à jour

Nitro propose une nouvelle version de Nitro Pro, qui met un terme aux éventuelles vulnérabilités liées à la sécurité.

Versions concernées Vulnérabilité CVE
11.0.3.173 et versions antérieures,
10.5.9.14 et versions antérieures
Vulnérabilité d'écriture mémoire hors limite, susceptible d'être exploitée
lors de l'ouverture d'un fichier
 PDF spécialement créé, qui entraîne une corruption de la mémoire et un plantage.
CVE-2017-2796
11.0.3.173 et versions antérieures,
10.5.9.14 et versions antérieures
Vulnérabilité liée à un dépassement de tas, susceptible d'être
exploitée lors de l'ouverture d'un fichier image PCX
spécialement créé, qui entraîne une corruption de la mémoire et un plantage.
CVE-2017-7950

Solution

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Version mise à jour Disponibilité
11.0.5.271 et plus Passez à la toute dernière version de Nitro Pro 11, disponible ici.
10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 10. Veuillez effectuer une mise à niveau pour obtenir la toute dernière version de Nitro Pro 11, disponible ici

For more information, please contact the Nitro Security Team at security@gonitro.com

Date de publication d'origine : 03/02/2017

Date de la dernière mise à jour : 25/08/2017

Mettre à jour

Nitro propose une nouvelle version de Nitro Pro, qui met un terme aux éventuelles vulnérabilités liées à la sécurité.

Versions concernées Vulnérabilité CVE
11.0.3.134 et versions antérieures,
10.5.9.9 et versions antérieures
Fichier PDF spécialement créé susceptible
d'entraîner une corruption de la mémoire, puis un plantage.
CVE-2016-8709
CVE-2016-8713
11.0.3.134 et versions antérieures,
10.5.9.9 et versions antérieures
Vulnérabilité liée à l'exécution éventuelle de code distant
dans la fonctionnalité d'analyse syntaxique de PDF de Nitro Pro.
CVE-2016-8711

Solution

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Version mise à jour Disponibilité
11.0.3.173 et plus Passez à la toute dernière version de Nitro Pro 11, disponible ici.
10.5.9.14 et plus Passez à la toute dernière version de Nitro Pro 10, disponible ici.

For more information, please contact the Nitro Security Team at security@gonitro.com

Politique et procédures de Nitro concernant les vulnérabilités liées à la sécurité

L'engagement de Nitro en faveur de la sécurité de ses produits et services constitue l'une de ses valeurs fondamentales. Grâce à une conception et à des essais proactifs en matière de sécurité, Nitro se félicite de n'avoir diffusé que très peu de mises à jour de sécurité depuis la sortie du produit. Nitro axe sa perspective sur son mode de gestion des vulnérabilités liées à la sécurité, y compris celles que des tiers signalent à Nitro.

Signalement d'une vulnérabilité

Toutes les vulnérabilités de Nitro doivent être signalées par e-mail à l'équipe de sécurité de Nitro, à l'adresse security@gonitro.com. N'oubliez pas d'indiquer la version ou le build affectés et une courte description des étapes permettant de reproduire la vulnérabilité, qui soit facile à comprendre, et d'inclure un fichier de validation de principe. Chez Nitro, nous vous sommes reconnaissants de nous signaler les bugs et vulnérabilités. Cependant, nous ne proposons aucune récompense ou reconnaissance pour la soumission de vulnérabilités liées à la sécurité ou de bugs.

Procédure de Nitro en matière de failles de sécurité :

(1) Nitro accuse réception des vulnérabilités signalées selon les instructions décrites ci-dessus et les valide généralement sous 7 jours.

(2) Lorsqu'une vulnérabilité est confirmée, Nitro procède à des analyses des risques via le système Common Vulnerability Scoring System (CVSS v3) et détermine la solution la plus appropriée pour ses clients.

  • Mises à jour de sécurité critiques : Problèmes internes au logiciel qui, s'ils ne sont pas résolus, impliquent des risques et des probabilités élevées d'accès non autorisé, d'altération ou de destruction d'informations sur l'ordinateur de l'utilisateur ou les ordinateurs connectés. Nitro résoudra les mises à jour de sécurité critiques en diffusant une mise à jour critique destinée à la version actuelle et aux précédentes versions du logiciel, ou une mise à niveau majeure vers la version actuelle et/ou une version précédente.

  • Mises à jour de sécurité non critiques : Problèmes internes au logiciel qui, s'ils ne sont pas résolus, impliquent des risques et des probabilités faibles à modérées d'accès non autorisé, d'altération ou de destruction d'informations sur l'ordinateur de l'utilisateur ou les ordinateurs connectés. Nitro résoudra les mises à jour de sécurité non critiques en diffusant une mise à jour mineure ou une mise à niveau majeure vers la version actuelle.

(3) Nitro conçoit, met en œuvre et teste les mises à jour sécurité éventuelles, puis rend celles-ci accessibles aux clients sur les versions logicielles prises en charge, généralement sous 90 jours.

(4) Sur sa page dédiée aux mises à jour de sécurité, Nitro divulgue au public toutes les vulnérabilités critiques, ainsi que les versions concernées et les détails pertinents relatifs à toute version mise à jour qui résout les problèmes.

For more information, please contact the Nitro Security Team at security@gonitro.com