Mises à jour de sécurité
    • Dernière mise à jour:9 /17 /2020
      Publié à l'origine :9 /1 /2020

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectées Vulnérabilité CVE Statut Solution
      Nitro Pro v13 .19 et plus tôt Débordement d'entier d'analyse de flux d'objets
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu avec une table de références croisées qui peut entraîner une erreur hors limites provoquant une corruption de la mémoire.
      CVE-2020 -6113 Résolu Mettre à niveau vers la dernière version de
      Nitro Pro v13 .22 et plus tôt Injection de commande JavaScript app.launchURL
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu contenant du JavaScript qui peut conduire à l'injection de commandes.
      CVE-2020 -25290 Résolu Mettre à niveau vers la dernière version de
    • Dernière mise à jour:9 /1 /2020
      Publié à l'origine :9 /1 /2020

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectées Vulnérabilité CVE Statut Solution
      Nitro Pro v13 .22 .0 .414 et plus tôt Objet manquant d'entrée XRefTable - Utiliser après la gratuité
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu et mal formé qui peut entraîner une condition d'utilisation après utilisation gratuite.
      CVE-2020 -6115 Résolu Mettre à niveau vers la dernière version de
      Nitro Pro v13 .22 .0 .414 et plus tôt Rendu ColorSpace indexé – Débordement de la mémoire tampon
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu avec un espace colorimétrique indexé qui peut entraîner un débordement de la mémoire tampon provoquant une corruption de la mémoire.
      CVE-2020 -6116 Résolu Mettre à niveau vers la dernière version de
      Nitro Pro v13 .22 .0 .414 et plus tôt Rendu ColorSpace basé sur ICC – Débordement de la mémoire tampon
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu avec un espace colorimétrique basé sur ICC, ce qui peut entraîner un débordement de la mémoire tampon provoquant une corruption de la mémoire.
      CVE-2020 -6146 Résolu Mettre à niveau vers la dernière version de
      Nitro Pro v13 .22 .0 .414 et plus tôt Injection de commande JavaScript app.launchURL
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu contenant du JavaScript qui peut conduire à l'injection de commandes
      Aucun Résolu Mettre à niveau vers la dernière version de
    • Dernière mise à jour:8 /2 /2020
      Publié à l'origine :8 /2 /2020

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectées Vulnérabilité CVE Statut Solution
      Nitro Pro v12 .16 .3 .574 et plus tôt

      n'est pas affecté

      Signature numérique « attaques fantômes »
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu et signé numériquement qui peut provoquer l'apparition de texte précédemment masqué lorsque le document est modifié après la signature.
      Afin de déclencher cette vulnérabilité, la cible doit ouvrir un document malveillant préparé au préalable par un signataire de confiance.
      Aucun Résolu Mettre à niveau vers la dernière version de
    • Dernière mise à jour:5 /8 /2020
      Publié à l'origine :5 /8 /2020

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectées Vulnérabilité CVE Statut Solution
      13.9 .1 .155 et plus tôt Gestion des erreurs JavaScript XML - Accès du pointeur non initialisé
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF spécialement conçu qui peut provoquer un accès mémoire non initialisé entraînant une divulgation potentielle d'informations. Afin de déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020 -6093 Résolu Mettre à niveau vers la dernière version de
      13.9 .1 .155 et plus tôt Pages imbriquées PDF - Utilisation après la gratuité
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corrompre la mémoire. Afin de déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020 -6074 Résolu Mettre à niveau vers la dernière version de
      13.13 .2 .242 et plus tôt Objet de modèle PDF - Débordement d'entier ou Wraparound
      Il existe une vulnérabilité lors de l'ouverture d'un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corrompre la mémoire. Afin de déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020 -6092 Résolu Mettre à niveau vers la dernière version de
    • Dernière mise à jour:3 /9 /2020
      Publié à l'origine :3 /9 /2020

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      13.9 et avantCorruption de tas npdf.dlll
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      vulnérabilité avec le potentiel d'exposer le contenu de la mémoire.
      CVE-2020 -10222
      13.9 et avantHeap Corruption JBIG2 DecodeStream
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      vulnérabilité avec le potentiel d'exposer le contenu de la mémoire.
      CVE-2020 -10223

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique de commerce électronique Nitro de mettre à jour leur logiciel avec la dernière version ci-dessous. Les clients des forfaits Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux installateurs mis à jour et aux instructions de déploiement. Les clients des forfaits Entreprise qui ont un Customer Success Manager assigné recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13 . 13 . 2 . 242Veuillez mettre à jour vers la dernière version de Nitro Pro13 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Dernière mise à jour:1 /9 /2020
      Publié à l'origine :10 /31 /2019

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      13.6 et avantCorruption de tas JPEG2000 ssizProfondeur
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      et l'application se bloque. Code à distance arbitraire
      l'exécution n'a pas été prouvée mais peut être possible.
      CVE-2019 -5045
      13.6 et avantCorruption de tas JPEG2000 yTsiz
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      et l'application se bloque. Code à distance arbitraire
      l'exécution n'a pas été prouvée mais peut être possible.
      CVE-2019 -5046
      13.6 et avantUtiliser après les CharProcs gratuits
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant conduire à une utilisation après utilisation gratuite
      condition et l'application se bloque.
      CVE-2019 -5047
      13.6 et avantEspace colorimétrique basé sur l'ICC sur la corruption de tas
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      et l'application se bloque. Code à distance arbitraire
      l'exécution n'a pas été prouvée mais peut être possible.
      CVE-2019 -5048
      13.6 et avantHeap Corruption Page Enfants
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant entraîner une corruption de tas
      et l'application se bloque. Code à distance arbitraire
      l'exécution n'a pas été prouvée mais peut être possible.
      CVE-2019 -5050
      13.8 et avantUtiliser après la durée du flux gratuit
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant conduire à une utilisation après utilisation gratuite
      condition et l'application se bloque.
      CVE-2019 -5053

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique de commerce électronique Nitro de mettre à jour leur logiciel avec la dernière version ci-dessous. Les clients des forfaits Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux installateurs mis à jour et aux instructions de déploiement. Les clients des forfaits Entreprise qui ont un Customer Success Manager assigné recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13 . 9 . 1 . 155Veuillez mettre à jour vers la dernière version de Nitro Pro13 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Dernière mise à jour:12 /20 /2019
      Publié à l'origine :12 /20 /2019

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      12.0 .0 .112 et avantJBIG2 Décoder la vulnérabilité de lecture hors limites
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant qui peut conduire à un hors-limites
      lire la vulnérabilité et l'application s'écraser.
      CVE-2019 -19817
      12.0 .0 .112 et avantJBIG2 Décoder la vulnérabilité de lecture hors limites
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant qui peut conduire à un hors-limites
      lire la vulnérabilité et l'application s'écraser.
      CVE-2019 -19818
      12.0 .0 .112 et avantJBIG2 Vulnérabilité globale de déférence de pointeur nul
      Une vulnérabilité existe lors de l'ouverture d'un fichier spécialement conçu
      document PDF malveillant pouvant conduire à un pointeur nul
      vulnérabilité de déférence et le plantage de l'application.
      CVE-2019 -19819
      12.17 .0 .584 et avantFichier debug.log temporaire
      Dans certaines conditions (c.-à-d. un essai expiré), un
      le fichier "debug.log" peut être créé dans le fonctionnement de Nitro Pro
      annuaire. Ce fichier debug.log peut être manipulé après
      l'application est fermée de la manière normale.
      CVE-2019 -19858

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique de commerce électronique Nitro de mettre à jour leur logiciel avec la dernière version ci-dessous. Les clients des forfaits Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux installateurs mis à jour et aux instructions de déploiement. Les clients des forfaits Entreprise qui ont un Customer Success Manager assigné recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13 . 8 . 2 . 140Veuillez mettre à jour vers la dernière version de Nitro Pro13 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Dernière mise à jour:10 /18 /2019
      Publié à l'origine :10 /18 /2019

      Mise à jour

      Nitro travaille activement à la résolution de plusieurs vulnérabilités potentielles récemment publiées. Après avoir été mis au courant de leur existence, nous avons évalué l'exactitude des réclamations, évalué la gravité et la probabilité de toute exploitation, et (sur la base de nos procédures proactives d'analyse et de traitement des vulnérabilités existantes), nous avons ensuite mis les vulnérabilités dans notre file d'attente de correction.

      Nous prenons ces vulnérabilités au sérieux et les corrigerons dans une prochaine mise à jour. Pour plus d'informations, vous pouvez contacter security@gonitro.com.

    • Dernière mise à jour:11 /17 /2017
      Publié à l'origine :11 /17 /2017

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      11.0 .6 et avant
      10 .5 .9 .14 et avant
      Il existe une vulnérabilité dans la fonction Doc.SaveAs qui
      pourrait être exploité par un fichier PDF spécialement conçu,
      conduisant potentiellement à une écriture de fichier se déroulant à l'extérieur
      du chemin prévu.
      CVE-2017 -7442
      11.0 .6 et avant
      10 .5 .9 .14 et avant
      Il existe une vulnérabilité dans la fonction Doc.SaveAs qui
      pourrait être exploité par un fichier PDF spécialement conçu,
      conduisant potentiellement à un lancement d'URL ayant lieu dans
      conjointement avec une alerte de sécurité.
      CVE-2017 -7442

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel avec la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les entreprises clientes disposant d'un Customer Success Manager dédié recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11 . 0 . 8 . 470Veuillez mettre à jour vers la dernière version de Nitro Pro11 disponible 
      10Nitro est incapable de corriger cette vulnérabilité dans Nitro Pro10 . Veuillez passer à la dernière version de Nitro Pro11 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Dernière mise à jour:9 /27 /2017
      Publié à l'origine :9 /27 /2017

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      11.0 .5 .271 et avant
      10 .5 .9 .14 et avant
      Une vulnérabilité d'écriture en mémoire qui pourrait potentiellement être
      exploité lors de l'ouverture d'un fichier PDF spécialement conçu, avec
      un champ Count spécifique, entraînant une corruption de la mémoire et
      un accident. 
      CVE en attente
      11.0 .5 .271 et avant
      10 .5 .9 .14 et avant
      Il existe une vulnérabilité d'utilisation après utilisation gratuite qui pourrait potentiellement
      être exploité lors de l'ouverture d'un fichier PDF spécialement conçu
      contenant un JPEG malformé2000 image, conduisant à
      corruption de mémoire et plantage.
      CVE en attente

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel avec la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les entreprises clientes disposant d'un Customer Success Manager dédié recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11 . 0 . 8 . 470Veuillez mettre à jour vers la dernière version de Nitro Pro11 disponible 
      10Nitro est incapable de corriger cette vulnérabilité dans Nitro Pro10 . Veuillez passer à la dernière version de Nitro Pro11 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Publié à l'origine :7 /21 /2017

      Dernière mise à jour: 8 / 25 / 2017

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      11.0 .3 .173 et avant
      10 .5 .9 .14 et avant
      Une vulnérabilité d'écriture de mémoire hors limite qui pourrait
      potentiellement être exploité lors de l'ouverture d'un
      PDF, entraînant une corruption de la mémoire et un plantage.
      CVE-2017 -2796
      11.0 .3 .173 et avant
      10 .5 .9 .14 et avant
      Une vulnérabilité de débordement de tas qui pourrait potentiellement être
      exploité lors de l'ouverture d'une image PCX spécialement conçue
      fichier, entraînant une corruption de la mémoire et un plantage.
      CVE-2017 -7950

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel avec la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les entreprises clientes disposant d'un Customer Success Manager dédié recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11 . 0 . 8 . 470Veuillez mettre à jour vers la dernière version de Nitro Pro11 disponible 
      10Nitro est incapable de corriger cette vulnérabilité dans Nitro Pro10 . Veuillez passer à la dernière version de Nitro Pro11 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Publié à l'origine :2 /3 /2017

      Dernière mise à jour: 8 / 25 / 2017

      Mise à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les failles de sécurité potentielles.

      Versions affectéesVulnérabilitéCVE
      11.0 .3 .134 et avant
      10 .5 .9 .9 et avant
      Un fichier PDF spécialement conçu peut potentiellement causer
      corruption de la mémoire entraînant un plantage.
      CVE-2016 -8709
      CVE-2016 -8713
      11.0 .3 .134 et avant
      10 .5 .9 .9 et avant
      Une vulnérabilité potentielle d'exécution de code à distance dans le
      Fonctionnalité d'analyse PDF de Nitro Pro.
      CVE-2016 -8711

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel avec la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les entreprises clientes disposant d'un Customer Success Manager dédié recevront les détails des versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11 . 0 . 8 . 470Veuillez mettre à jour vers la dernière version de Nitro Pro11 disponible 
      10.5 .9 .14 +Veuillez mettre à jour vers la dernière version de Nitro Pro10 disponible 

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Politique de vulnérabilité et de prime aux bogues de Nitro Security

      Politique

      Nitro est fier d'avoir requis quelques mises à jour de produit historiques pour les vulnérabilités de sécurité. Garder les informations des utilisateurs en sécurité est une priorité absolue et une valeur fondamentale de l'entreprise pour nous chez Nitro. Nous nous félicitons de la contribution des chercheurs en sécurité externes et sommes impatients de les récompenser pour leur contribution inestimable à la sécurité de tous les utilisateurs de Nitro.

      Récompenses

      Nitro fournit des récompenses pour les rapports de vulnérabilité acceptés à sa discrétion. Notre récompense minimale est un $25 Carte-cadeau Amazon en USD. Les montants des récompenses peuvent varier en fonction de la gravité de la vulnérabilité signalée et de la qualité du rapport. Gardez à l'esprit qu'il ne s'agit pas d'un concours ou d'une compétition. Nous nous réservons le droit de déterminer le montant ou même si une récompense doit être accordée.

      Applications dans la portée

      Les applications Nitro Pro, Nitro Sign et Nitro Admin sont éligibles au programme de primes. De plus, toutes les applications de plate-forme partenaire basées sur le cloud sont également éligibles (par exemple, Nitro File Actions). Nous pouvons toujours récompenser tout ce qui a un impact significatif sur l'ensemble de notre posture de sécurité, nous vous encourageons donc à signaler ces vulnérabilités via ce programme.

      Rapports de vulnérabilité de sécurité et éligibilité

      Toutes les vulnérabilités de sécurité Nitro doivent être signalées par e-mail à l'équipe de sécurité Nitro à l'adresse . Pour favoriser la découverte et le signalement des vulnérabilités et augmenter la sécurité des utilisateurs, nous vous demandons de :

      • Partagez le problème de sécurité avec nous en détail, y compris le nom de l'application, la version/build concerné, des étapes concises pour reproduire la vulnérabilité qui sont faciles à comprendre, des informations sur l'impact réel et potentiel de la vulnérabilité et des détails sur la façon dont elle pourrait être exploitée ;
      • Inclure un fichier de preuve de concept ;
      • Merci de respecter nos applications existantes. Le spam de formulaires via des scanners de vulnérabilité automatisés n'entraînera aucune récompense car ceux-ci sont explicitement hors de portée ;
      • Donnez-nous un délai raisonnable pour répondre au problème avant de rendre publiques des informations à son sujet ;
      • N'accédez pas ou ne modifiez pas nos données ou les données de nos utilisateurs, sans l'autorisation explicite du propriétaire. N'interagissez avec vos propres comptes ou comptes de test qu'à des fins de recherche de sécurité ;
      • Contactez-nous immédiatement si vous rencontrez par inadvertance des données utilisateur. Ne pas afficher, modifier, enregistrer, stocker, transférer ou accéder de quelque manière que ce soit aux données, et purger immédiatement toute information locale lors du signalement de la vulnérabilité à Nitro ;
      • Agir de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de nos services (y compris le déni de service) ; et
      • Sinon, respectez toutes les lois applicables.

      Nous ne récompensons que le premier signaleur d'une vulnérabilité. La divulgation publique de la vulnérabilité avant sa résolution peut annuler une récompense en attente. Nous nous réservons le droit de disqualifier des personnes du programme pour comportement irrespectueux ou perturbateur.

      Nous ne négocierons pas en réponse à la contrainte ou aux menaces (par exemple, nous ne négocierons pas le montant du paiement sous la menace de retenir la vulnérabilité ou la menace de divulguer la vulnérabilité ou toute donnée exposée au public).

      Processus de vulnérabilité de sécurité :

      (1 ) Nitro reconnaîtra et évaluera toute vulnérabilité signalée conformément aux instructions ci-dessus, généralement dans les7 journées.

      (2 ) Lorsqu'une vulnérabilité est confirmée, Nitro effectuera une analyse des risques à l'aide du Common Vulnerability Scoring System (CVSS v3 ) et déterminer la réponse la plus appropriée pour les clients Nitro.

      • Vulnérabilités de sécurité critiques : Problèmes au sein du logiciel qui, s'ils ne sont pas résolus, présentent un risque et une probabilité élevés d'accès non autorisé, d'altération ou de destruction des informations sur l'ordinateur d'un utilisateur ou les ordinateurs connectés. Nitro résoudra les vulnérabilités de sécurité critiques avec une mise à jour du produit vers la version actuelle et précédente de Nitro Pro, et tous les services cloud, selon le .
      • Vulnérabilités de sécurité non critiques : Problèmes au sein du logiciel qui, s'ils ne sont pas résolus, présentent un risque et une probabilité faibles à modérés d'accès non autorisé, de modification ou de destruction des informations sur l'ordinateur d'un utilisateur ou les ordinateurs connectés. Nitro, à sa discrétion, résoudra les vulnérabilités de sécurité non critiques avec une mise à jour du produit vers la version actuelle de Nitro Pro uniquement, et tous les services cloud conformément au .

      (3 ) Nitro concevra, mettra en œuvre et testera un correctif pour toutes les vulnérabilités de sécurité critiques, et fournira une mise à jour du produit aux clients, généralement dans les90 journées.

      (4 ) Nitro divulguera publiquement toutes les vulnérabilités de sécurité critiques, les versions affectées et les détails pertinents des mises à jour de produit qui résolvent les problèmes, sur cette page de mises à jour de sécurité Nitro. Nitro ne reconnaît pas publiquement les chercheurs en sécurité individuels pour leurs soumissions.

      Vulnérabilités de sécurité hors de portée

      Les problèmes suivants ne relèvent pas du champ d'application de cette politique et de ce programme de récompenses :

      • Attaques nécessitant un accès physique à l'appareil d'un utilisateur.
      • En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
      • Bonnes pratiques manquantes (nous avons besoin de preuves d'une vulnérabilité de sécurité).
      • Utilisation d'une bibliothèque connue et vulnérable (sans preuve d'exploitabilité).
      • Ingénierie sociale des employés ou sous-traitants de Nitro.
      • Rapports de chiffrements SSL/TLS non sécurisés (à moins que vous n'ayez une preuve de concept fonctionnelle, et pas seulement un rapport d'un scanner).
      • Les vulnérabilités d'usurpation de contenu et d'injection de texte pur (où vous ne pouvez injecter que du texte ou une image dans une page). Nous accepterons et résoudrons une vulnérabilité d'usurpation d'identité où l'attaquant peut injecter une image ou un texte enrichi (HTML), mais il n'est pas éligible pour une prime.
      • Services Nitro, à moins que vous ne puissiez accéder à des adresses IP privées ou à des serveurs Nitro.

      Conséquences du respect de cette politique

      Nous ne poursuivrons pas d'action civile ni n'entamerons de plainte auprès des forces de l'ordre pour violation accidentelle et de bonne foi de cette politique. Nous considérons que les activités menées conformément à cette politique constituent une conduite « autorisée » en vertu de la Loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre politique d'utilisation acceptable, nous renonçons à ces restrictions dans le seul but de permettre la recherche de sécurité dans le cadre de cette politique. Nous n'allons pas intenter une action DMCA contre vous pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications concernées.

      Si une action en justice est engagée par un tiers contre vous et que vous vous êtes conformé à la politique de Nitro sur la vulnérabilité de la sécurité et les bogues, Nitro prendra des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

      Veuillez nous soumettre un rapport avant de vous engager dans une conduite qui peut être incompatible avec ou non traitée par cette politique.

      Les petits caractères

      Vous êtes responsable du paiement de toutes les taxes associées aux récompenses. Nous pouvons modifier les conditions de ce programme ou mettre fin à ce programme à tout moment. Nous n'appliquerons pas les modifications que nous apporterons aux présentes conditions du programme de manière rétroactive. Les signalements de personnes que la loi nous interdit de payer ne sont pas éligibles aux récompenses. Les employés de Nitro et les membres de leur famille ne peuvent prétendre à aucune récompense.

      Afin d'encourager l'adoption de programmes de bug bounty et de promouvoir des meilleures pratiques de sécurité uniformes dans l'ensemble du secteur, Nitro ne se réserve aucun droit sur cette politique de bug bounty et vous êtes donc libre de la copier et de la modifier à vos propres fins.

      Pour plus d'informations, veuillez contacter l'équipe de sécurité Nitro à

    • Mise à jour des incidents de sécurité

      En septembre30 ,2020 , Nitro a eu connaissance d'un incident de sécurité isolé impliquant un accès limité aux bases de données Nitro par un tiers non autorisé.

      Après avoir appris cet incident, Nitro a pris des mesures immédiates pour s'assurer que l'environnement Nitro était sécurisé et a commencé une enquête avec le soutien d'experts en cybersécurité et en criminalistique de premier plan. L'enquête est maintenant terminée et Nitro peut fournir plus de détails :

      • L'incident impliquait l'accès à des bases de données spécifiques de Nitro, qui prennent en charge certains services en ligne et ont été principalement utilisées pour le stockage d'informations liées aux produits en ligne gratuits de Nitro.
      • Le service de conversion en ligne gratuit de Nitro n'oblige pas les utilisateurs à créer un compte Nitro ou à devenir un client Nitro. Les utilisateurs doivent simplement fournir une adresse e-mail à laquelle les fichiers convertis sont livrés.
      • Il n'y a eu aucun impact sur Nitro Pro ou Nitro Analytics.
      • Les données utilisateur exposées comprenaient les adresses e-mail des utilisateurs, les noms complets, les mots de passe hachés et salés hautement sécurisés, ainsi que les métadonnées des documents en relation avec les services en ligne Nitro. Une très petite partie des informations comprenait des noms de sociétés, des titres et des adresses IP.
      • Les mots de passe n'ont pas été affectés pour les utilisateurs qui accèdent à nos services cloud via Single Sign-On (SSO).
      • L'enquête a en outre identifié une activité limitée de la part du tiers non autorisé dans un ancien site de services cloud, impactant moins de0 .0073 % des données stockées à cet emplacement. L'activité suggère que le tiers non autorisé se concentrait spécifiquement sur l'obtention de données liées à la crypto-monnaie.

      Après avoir appris cet incident, Nitro a procédé à une réinitialisation forcée du mot de passe pour tous les utilisateurs afin de sécuriser davantage les comptes clients. En plus de cela, les conseils généraux pour maintenir une bonne cyberhygiène comprennent :

      • Changer régulièrement les mots de passe des comptes en ligne, utiliser un mot de passe distinct pour les opérations bancaires en ligne et utiliser un gestionnaire de mots de passe pour mémoriser plusieurs mots de passe.
      • Ne jamais envoyer par courrier électronique les mots de passe des comptes en ligne et confirmer si les comptes en ligne sont sécurisés en visitant .
      • Activer l'authentification multifacteur pour les comptes en ligne dans la mesure du possible et s'assurer qu'un logiciel antivirus à jour est installé sur tout appareil utilisé pour accéder aux comptes en ligne.

      Depuis l'incident, l'équipe de sécurité informatique de Nitro a travaillé en étroite collaboration avec des experts externes en cybersécurité pour renforcer la sécurité de tous les systèmes, y compris des services améliorés de journalisation, de détection et d'alerte dans toutes les régions, ainsi qu'une surveillance accrue des données et une réévaluation de tous les protocoles. . L'environnement informatique reste sécurisé et Nitro n'a constaté aucune activité malveillante depuis l'incident.

      Nitro prend la sûreté et la sécurité des données de ses clients au sérieux, et nous sommes là pour soutenir nos clients de toutes les manières qui peuvent être utiles. Nous encourageons toute personne ayant des questions à contacter .

Base de connaissances
Maximisez votre investissement avec des articles informatifs sur les fonctionnalités, les produits et plus encore de Nitro.
Forum communautaire
Postez des questions, partagez des commentaires et interagissez avec d'autres clients et experts Nitro.
Demande d’aide
05 juillet 2021, 09:06
Si vous disposez d'un accès VIP Nitro ou d'un support Premium, vous pouvez ouvrir un ticket d'assistance et nous contacter directement.
Bibliothèque de contenus

Numérisation de bout en bout de vos workflows documentaires

Une nouvelle étude de GigaOm compare et évalue les fonctionnalités et les capacités des solutions de signature électronique et d'édition PDF leaders du secteur.
Portions of this page translated by Google.