Mises à jour de sécurité
    • Dernière mise à jour : 12/7/2022
      Publié à l’origine : 12/7/2022

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      Nitro Pro contre 13.70.0 et antérieures

      Exécution de commandes arbitraires dans l’application

      Il existe une vulnérabilité lorsque l’application permet à des documents PDF spécialement conçus d’exécuter des commandes arbitraires dans l’application.

      CVE-2022-46406RésoluMise à niveau vers la dernière version de Nitro PDF Pro
    • Dernière mise à jour : 10/25/2021
      Publié à l’origine : 10/25/2021

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      Nitro Pro contre 13.49 et antérieures

      Vulnérabilité d’utilisation après libération d’objets JavaScript local_file_path

      Un document spécialement conçu peut entraîner la destruction puis la réutilisation ultérieure d’un objet contenant le chemin d’accès à un document, ce qui entraîne une vulnérabilité d’utilisation après libération, ce qui peut entraîner l’exécution de code dans le contexte de l’application. Un attaquant peut convaincre un utilisateur d’ouvrir un document pour déclencher cette vulnérabilité.

      CVE-2021-21796
      RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.49 et antérieures

      Vulnérabilité JavaScript TimeOutObject double free

      Un document spécialement conçu peut entraîner le stockage d’une référence à un objet de délai d’attente à deux emplacements différents. Une fois fermé, le document entraînera la publication de la référence deux fois. Cela peut conduire à l’exécution de code dans le contexte de l’application. Un attaquant peut convaincre un utilisateur d’ouvrir un document pour déclencher cette vulnérabilité.

      CVE-2021-21797
      RésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 9/10/2021
      Publié à l’origine : 9/10/2021

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      Nitro Pro contre 13.47 et antérieures

      Vulnérabilité liée au traitement de réseau4de journal
      Apache log4les versions réseau antérieures à 2.0.10 ne désactivez pas les entités externes XML lors de l’analyse des fichiers de configuration du journal4du réseau. Cela permet des attaques basées sur XXE dans les applications qui acceptent les fichiers de configuration de journal4de réseau contrôlés par les attaquants.

      Important : Pour appliquer ce correctif, effectuez une mise à niveau vers l’application iManage Desktop de la version 10.5 ou plus récent. Afin d’éviter que les documents ne deviennent en lecture seule, assurez-vous que tous les documents ouverts sur la même machine sont fermés et ARCHIVÉS.

      CVE-2018-1285RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.47 et antérieuresJavaScript document.flattenPages
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant JavaScript qui peut entraîner l’exécution de code dans le contexte de l’application.
      CVE-2021-21798RésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 9/17/2020
      Publié à l’origine : 9/1/2020

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      Nitro Pro contre 13.19 et antérieuresFlux d’objets analysant le dépassement d’entier
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un tableau de références croisées qui peut entraîner une erreur hors limites provoquant une corruption de la mémoire.
      CVE-2020-6113RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.22 et antérieuresapp.launchURL Injection de commandes JavaScript
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant du JavaScript qui peut entraîner une injection de commandes.
      CVE-‪2020-25290RésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 9/1/2020
      Publié à l’origine : 9/1/2020

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      Nitro Pro contre 13.22.0.414 et versions antérieuresObjet manquant de l’entrée XRefTable - Utiliser après la libération
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu et mal formé, ce qui peut entraîner une condition d’utilisation après libération.
      CVE-2020-6115RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.22.0.414 et versions antérieuresRendu ColorSpace indexé – Buffer Overflow
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un espace colorimétrique indexé qui peut entraîner un débordement de la mémoire tampon entraînant une corruption de la mémoire.
      CVE-2020-6116RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.22.0.414 et versions antérieuresRendu ICCBased ColorSpace – Buffer Overflow
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un espace colorimétrique ICCBased qui peut entraîner un débordement de la mémoire tampon provoquant une corruption de la mémoire.
      CVE-2020-6146RésoluMise à niveau vers la dernière version de Nitro Pro
      Nitro Pro contre 13.22.0.414 et versions antérieuresapp.launchURL Injection de commandes JavaScript
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant JavaScript qui peut conduire à l’injection de commandes
      AucunRésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 8/2/2020
      Publié à l’origine : 8/2/2020

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution

      Nitro Pro contre 12.16.3.574 et versions antérieures

      Le signe Nitro n’est pas affecté

      Signature numérique « attaques fantômes »
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu et signé numériquement qui peut provoquer l’apparition de texte précédemment masqué lorsque le document est modifié après la signature.
      Pour déclencher cette vulnérabilité, la cible doit ouvrir un document malveillant préparé à l’avance par un signataire approuvé.
      AucunRésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 5/8/2020
      Publié à l’origine : 5/8/2020

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVEStatutSolution
      13.9.1.155 et versions antérieuresGestion des erreurs XML JavaScript – Accès au pointeur non initialisé
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu qui peut provoquer un accès mémoire non initialisé entraînant la divulgation potentielle d’informations. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020-6093RésoluMise à niveau vers la dernière version de Nitro Pro
      13.9.1.155 et versions antérieuresPages PDF imbriquées - Utiliser après gratuit
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corruption de la mémoire. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020-6074RésoluMise à niveau vers la dernière version de Nitro Pro
      13.13.2.242 et versions antérieuresObjet de modèle PDF – Dépassement d’entier ou wraparound
      Il existe une vulnérabilité lors de l’ouverture d’un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corruption de la mémoire. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.
      CVE-2020-6092RésoluMise à niveau vers la dernière version de Nitro Pro
    • Dernière mise à jour : 3/9/2020
      Publié à l’origine : 3/9/2020

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      13.9 et antérieuresCorruption du tas npdf.dlll
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      Vulnérabilité susceptible d’exposer le contenu de la mémoire.
      CVE-2020-10222
      13.9 et antérieuresCorruption du tas JBIG2DecodeStream
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      Vulnérabilité susceptible d’exposer le contenu de la mémoire.
      CVE-2020-10223

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13.13.2.242Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Dernière mise à jour : 1/9/2020
      Publié à l’origine : 10/31/2019

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      13.6 et antérieuresCorruption du tas JPEG2000 ssizDepth
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      et l’application se bloque. Code distant arbitraire
      L’exécution n’a pas été prouvée mais peut être possible.
      CVE-2019-5045
      13.6 et antérieuresCorruption du tas JPEG2000 yTsiz
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      et l’application se bloque. Code distant arbitraire
      L’exécution n’a pas été prouvée mais peut être possible.
      CVE-2019-5046
      13.6 et antérieuresUtiliser après CharProcs gratuits
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant conduire à une utilisation après libération
      et l’application se bloque.
      CVE-2019-5047
      13.6 et antérieuresCorruption du tas ICCAsd’espace colorimétrique
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      et l’application se bloque. Code distant arbitraire
      L’exécution n’a pas été prouvée mais peut être possible.
      CVE-2019-5048
      13.6 et antérieuresPage de corruption de tas Enfants
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant entraîner une corruption du tas
      et l’application se bloque. Code distant arbitraire
      L’exécution n’a pas été prouvée mais peut être possible.
      CVE-2019-5050
      13.8 et antérieuresUtiliser après la longueur du flux libre
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant conduire à une utilisation après libération
      et l’application se bloque.
      CVE-2019-5053

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13.9.1.155Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Dernière mise à jour : 12/20/2019
      Publié à l’origine : 12/20/2019

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      12.0.0.112 et antérieuresVulnérabilité de lecture hors limites liée au décodage JBIG2
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant conduire à un hors limites
      Vulnérabilité de lecture et l’application se bloque.
      CVE-2019-19817
      12.0.0.112 et antérieuresVulnérabilité de lecture hors limites liée au décodage JBIG2
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant conduire à un hors limites
      Vulnérabilité de lecture et l’application se bloque.
      CVE-2019-19818
      12.0.0.112 et antérieuresVulnérabilité de déférence du pointeur nul dans JBIG2Globals
      Il existe une vulnérabilité lors de l’ouverture d’un
      document PDF malveillant pouvant conduire à un pointeur nul
      Vulnérabilité de déférence et l’application se bloquant.
      CVE-2019-19819
      12.17.0.584 et antérieuresFichier de débogage temporaire.log
      Dans certaines conditions (c.-à-d. un essai expiré), un
      fichier « debug.log » peut être créé dans le Nitro Pro de travail
      répertoire. Ce fichier de débogage.log peut être manipulé après
      L’application est fermée normalement.
      CVE-2019-19858

      Solution

      Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      13.8.2.140Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Dernière mise à jour : 10/18/2019
      Publié à l’origine : 10/18/2019

      Mettre à jour

      Nitro travaille activement à résoudre plusieurs vulnérabilités potentielles récemment publiées. Dès que nous avons été informés de leur existence, nous avons évalué l’exactitude des réclamations, évalué la gravité et la probabilité de toute exploitation, et (sur la base de nos procédures d’analyse et de traitement proactives des vulnérabilités existantes) nous avons ensuite placé les vulnérabilités dans notre file d’attente de correction.

      Nous prenons ces vulnérabilités au sérieux et nous les corrigerons dans une prochaine mise à jour. Pour plus d’informations, vous pouvez contacter security@gonitro.com.

    • Dernière mise à jour : 11/17/2017
      Publié à l’origine : 11/17/2017

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      11.0.6 et antérieures
      10.5.9.14 et antérieures
      Il existe une vulnérabilité dans la fonction Doc.SaveAs qui
      pourrait être exploité par un fichier PDF spécialement conçu,
      pouvant conduire à une écriture de fichier en dehors
      du chemin prévu.
      CVE-2017-7442
      11.0.6 et antérieures
      10.5.9.14 et antérieures
      Il existe une vulnérabilité dans la fonction Doc.SaveAs qui
      pourrait être exploité par un fichier PDF spécialement conçu,
      pouvant conduire à un lancement d’URL en
      conjonction avec une alerte de sécurité.
      CVE-2017-7442

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11.0.8.470Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici
      10Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Dernière mise à jour : 9/27/2017
      Publié à l’origine : 9/27/2017

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      11.0.5.271 et antérieures
      10.5.9.14 et antérieures
      Une vulnérabilité d’écriture mémoire qui pourrait potentiellement être
      exploité lors de l’ouverture d’un fichier PDF spécialement conçu, avec
      un champ Count spécifique, entraînant une corruption de la mémoire et
      un crash. 
      CVE en attente
      11.0.5.271 et antérieures
      10.5.9.14 et antérieures
      Il existe une vulnérabilité d’utilisation après libération qui pourrait potentiellement
      être exploité lors de l’ouverture d’un fichier PDF spécialement conçu
      contenant une image2000 JPEG mal formée, conduisant à
      corruption de la mémoire et plantage.
      CVE en attente

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11.0.8.470Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici
      10Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Publié à l’origine : 7/21/2017

      Dernière mise à jour : 8/25/2017

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      11.0.3.173 et antérieures
      10.5.9.14 et antérieures
      Une vulnérabilité d’écriture de mémoire non liée qui pourrait
      potentiellement exploité lors de l’ouverture d’un
      PDF, entraînant une corruption de la mémoire et un plantage.
      CVE-2017-2796
      11.0.3.173 et antérieures
      10.5.9.14 et antérieures
      Une vulnérabilité de débordement de tas qui pourrait potentiellement être
      exploité lors de l’ouverture d’une image PCX spécialement conçue
      , entraînant une corruption de la mémoire et un plantage.
      CVE-2017-7950

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11.0.8.470Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici
      10Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Publié à l’origine : 2/3/2017

      Dernière mise à jour : 8/25/2017

      Mettre à jour

      Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.

      Versions concernéesVulnérabilitéCVE
      11.0.3.134 et antérieures
      10.5.9.9 et antérieures
      Un fichier PDF spécialement conçu peut potentiellement causer
      corruption de la mémoire entraînant un plantage.
      CVE-2016-8709
      CVE-2016-8713
      11.0.3.134 et antérieures
      10.5.9.9 et antérieures
      Une vulnérabilité potentielle d’exécution de code à distance dans le
      Fonctionnalité d’analyse PDF de Nitro Pro.
      CVE-2016-8711

      Solution

      Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.

      Version mise à jourDisponibilité
      11.0.8.470Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici
      10.5.9.14+Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Politique de Nitro Security Vulnerability & Bug Bounty

      Politique

      Nitro est fier d’avoir exigé peu de mises à jour historiques de produits pour les vulnérabilités de sécurité. Assurer la sécurité des informations des utilisateurs est une priorité absolue et une valeur fondamentale de l’entreprise chez Nitro. Nous saluons la contribution des chercheurs externes en sécurité et sommes impatients de les récompenser pour leur contribution inestimable à la sécurité de tous les utilisateurs de Nitro.

      Récompenses

      Nitro offre des récompenses pour les rapports de vulnérabilité acceptés à sa discrétion. Notre récompense minimale est une carte-cadeau Amazon de25 USD. Les montants des récompenses peuvent varier en fonction de la gravité de la vulnérabilité signalée et de la qualité du rapport. Gardez à l’esprit qu’il ne s’agit pas d’un concours ou d’une compétition. Nous nous réservons le droit de déterminer le montant ou même si une récompense doit être accordée.

      Applications visées

      Les applications Nitro Pro, Nitro Sign et Nitro Admin sont éligibles au programme de primes. En outre, toutes les applications de plate-forme partenaire basées sur le cloud sont également éligibles (par exemple, Nitro File Actions). Nous pouvons toujours récompenser tout ce qui a un impact significatif sur l’ensemble de notre posture de sécurité, nous vous encourageons donc à signaler de telles vulnérabilités via ce programme.

      Rapports sur les vulnérabilités de sécurité et éligibilité

      Toutes les vulnérabilités de sécurité Nitro doivent être signalées par e-mail à l’équipe de sécurité Nitro à security@gonitro.com. Pour favoriser la découverte et le signalement des vulnérabilités et accroître la sécurité des utilisateurs, nous vous demandons de :

      • Partagez le problème de sécurité avec nous en détail, y compris le nom de l’application, la version / build affectée, les étapes concises pour reproduire la vulnérabilité qui sont facilement comprises, des informations sur l’impact réel et potentiel de la vulnérabilité, et des détails sur la façon dont elle pourrait être exploitée ;
      • Inclure un dossier de validation de principe;
      • Veuillez respecter nos applications existantes. Le spamming de formulaires via des scanners de vulnérabilité automatisés n’entraînera aucune récompense de prime puisque ceux-ci sont explicitement hors de portée;
      • Donnez-nous un délai raisonnable pour répondre à la question avant de rendre publique toute information à ce sujet;
      • N’accédez pas ou ne modifiez pas nos données ou les données de nos utilisateurs, sans l’autorisation explicite du propriétaire. N’interagissez avec vos propres comptes ou comptes de test qu’à des fins de recherche en sécurité ;
      • Contactez-nous immédiatement si vous rencontrez par inadvertance des données utilisateur. Ne visualisez pas, ne modifiez pas, n’enregistrez pas, ne stockez, ne transférez pas ou n’accédez pas aux données, et purgez immédiatement toute information locale en signalant la vulnérabilité à Nitro ;
      • Agir de bonne foi pour éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services (y compris le déni de service); et
      • Autrement se conformer à toutes les lois applicables.

      Nous ne récompensons que le premier rapporteur d’une vulnérabilité. La divulgation publique de la vulnérabilité avant la résolution peut annuler une récompense en attente. Nous nous réservons le droit de disqualifier des personnes du programme pour comportement irrespectueux ou perturbateur.

      Nous ne négocierons pas en réponse à la contrainte ou aux menaces (par exemple, nous ne négocierons pas le montant du paiement sous la menace de retenir la vulnérabilité ou la menace de divulguer la vulnérabilité ou toute donnée exposée au public).

      Processus de vulnérabilité de sécurité :

      (1) Nitro reconnaîtra et évaluera toute vulnérabilité signalée conformément aux instructions ci-dessus, généralement dans un délai de 7 jours.

      (2) Lorsqu’une vulnérabilité est confirmée, Nitro effectuera une analyse des risques à l’aide du Common Vulnerability Scoring System (CVSS v3) et déterminera la réponse la plus appropriée pour les clients Nitro.

      • Vulnérabilités de sécurité critiques : Problèmes au sein du logiciel qui, s’ils ne sont pas résolus, présentent un risque élevé et une probabilité élevée d’accès non autorisé, d’altération ou de destruction d’informations sur l’ordinateur d’un utilisateur ou les ordinateurs connectés. Nitro résoudra les vulnérabilités de sécurité critiques avec une mise à jour du produit vers la version actuelle et précédente de Nitro Pro, et tous les services cloud, conformément aux mises à jour du produit et à la politique de temporisation.
      • Vulnérabilités de sécurité non critiques : Problèmes au sein du logiciel qui, s’ils ne sont pas résolus, présentent un risque et une probabilité faibles à modérés d’accès non autorisé, de modification ou de destruction d’informations sur l’ordinateur d’un utilisateur ou les ordinateurs connectés. Nitro, à sa discrétion, résoudra les vulnérabilités de sécurité non critiques avec une mise à jour du produit vers la version actuelle de Nitro Pro uniquement, et tous les services cloud conformément aux mises à jour des produits et à la politique de temporisation.

      (3) Nitro concevra, mettra en œuvre et testera un correctif pour toutes les vulnérabilités de sécurité critiques et fournira une mise à jour du produit aux clients, généralement dans un délai de 90 jours.

      (4) Nitro divulguera publiquement toutes les vulnérabilités de sécurité critiques, les versions concernées et les détails pertinents des mises à jour de produits qui résolvent les problèmes, sur cette page Mises à jour de sécurité Nitro. Nitro ne reconnaît pas publiquement les chercheurs en sécurité individuels pour leurs soumissions.

      Vulnérabilités de sécurité hors champ d’application

      Les questions suivantes ne relèvent pas de la portée de cette politique et de ce programme de récompenses :

      • Attaques nécessitant un accès physique à l’appareil d’un utilisateur.
      • En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
      • Meilleures pratiques manquantes (nous exigeons la preuve d’une vulnérabilité de sécurité).
      • Utilisation d’une bibliothèque connue pour être vulnérable (sans preuve d’exploitabilité).
      • Ingénierie sociale des employés ou sous-traitants de Nitro.
      • Rapports de chiffrements SSL/TLS non sécurisés (sauf si vous avez une preuve de concept fonctionnelle, et pas seulement un rapport d’un scanner).
      • Vulnérabilités d’usurpation de contenu et d’injection de texte pur (où vous ne pouvez injecter que du texte ou une image dans une page). Nous accepterons et résoudrons une vulnérabilité d’usurpation d’identité où un attaquant peut injecter une image ou du texte enrichi (HTML), mais il n’est pas éligible à une prime.
      • Services Nitro sauf si vous êtes en mesure d’atteindre des adresses IP privées ou des serveurs Nitro.

      Conséquences du respect de la présente politique

      Nous n’intenterons pas d’action civile ou ne déposerons pas de plainte auprès des forces de l’ordre pour des violations accidentelles et de bonne foi de cette politique. Nous considérons que les activités menées conformément à cette politique constituent une conduite « autorisée » en vertu de la loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre Politique d’utilisation acceptable, nous renonçons à ces restrictions dans le but limité de permettre la recherche de sécurité en vertu de cette politique. Nous n’intenterons pas de réclamation DMCA contre vous pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications concernées.

      Si une action en justice est intentée par un tiers contre vous et que vous vous êtes conformé à la politique de Nitro en matière de vulnérabilité de sécurité et de bug bounty, Nitro prendra des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

      Veuillez nous soumettre un rapport avant de vous engager dans une conduite qui pourrait être incompatible avec ou non traitée par cette politique.

      Les petits caractères

      Vous êtes responsable du paiement de toutes les taxes associées aux récompenses. Nous pouvons modifier les conditions de ce programme ou mettre fin à ce programme à tout moment. Nous n’appliquerons rétroactivement aucune modification apportée aux présentes conditions du programme. Les signalements de personnes que la loi nous interdit de payer ne sont pas admissibles aux récompenses. Les employés de Nitro et les membres de leur famille ne sont admissibles à aucune récompense.

      Afin d’encourager l’adoption de programmes de bug bounty et de promouvoir les meilleures pratiques de sécurité uniformes dans l’ensemble de l’industrie, Nitro ne se réserve aucun droit sur cette politique de bug bounty et vous êtes donc libre de la copier et de la modifier à vos propres fins.

      Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com

    • Mise à jour sur les incidents de sécurité

      Le 30septembre 2020, Nitro a pris connaissance d’un incident de sécurité isolé impliquant un accès limité aux bases de données Nitro par un tiers non autorisé.

      En apprenant cet incident, Nitro a pris des mesures immédiates pour s’assurer que l’environnement Nitro était sécurisé et a ouvert une enquête avec le soutien d’experts en cybersécurité et en criminalistique. L’enquête est maintenant terminée et Nitro peut fournir plus de détails :

      • L’incident concernait l’accès à des bases de données spécifiques de Nitro, qui prennent en charge certains services en ligne et ont été utilisées principalement pour le stockage d’informations liées aux produits en ligne gratuits de Nitro.
      • Le service de conversion en ligne gratuit de Nitro n’oblige pas les utilisateurs à créer un compte Nitro ou à devenir un client Nitro. Les utilisateurs sont simplement tenus de fournir une adresse e-mail à laquelle les fichiers convertis sont livrés.
      • Il n’y a eu aucun impact sur Nitro Pro ou Nitro Analytics.
      • Les données utilisateur exposées comprenaient les adresses e-mail des utilisateurs, les noms complets, les mots de passe hachés et salés hautement sécurisés, ainsi que les métadonnées de documents en relation avec les services en ligne Nitro. Une très petite partie de l’information comprenait les noms d’entreprise, les titres et les adresses IP.
      • Les mots de passe n’ont pas été affectés pour les utilisateurs qui accèdent à nos services cloud via l’authentification unique (SSO).
      • L’enquête a également révélé une activité limitée du tiers non autorisé dans un emplacement de services infonuagiques hérités, ayant une incidence sur moins de 0.0073% des données stockées à cet emplacement. L’activité suggère que le tiers non autorisé était spécifiquement axé sur l’obtention de données liées à la crypto-monnaie.

      En apprenant cet incident, Nitro a effectué une réinitialisation forcée du mot de passe pour tous les utilisateurs afin de sécuriser davantage les comptes clients. En plus de cela, les conseils généraux pour maintenir une bonne hygiène cybernétique comprennent:

      • Changer régulièrement les mots de passe des comptes en ligne, utiliser un mot de passe distinct pour les services bancaires en ligne et utiliser un gestionnaire de mots de passe pour mémoriser plusieurs mots de passe.
      • Ne jamais envoyer par courriel les mots de passe des comptes en ligne et confirmer si les comptes en ligne sont sécurisés en visitant https://haveibeenpwned.com/.
      • Activer l’authentification multifacteur pour les comptes en ligne lorsque cela est possible et s’assurer qu’un logiciel antivirus à jour est installé sur tout appareil utilisé pour accéder aux comptes en ligne.

      Depuis l’incident, l’équipe de sécurité informatique de Nitro a travaillé en étroite collaboration avec des experts externes en cybersécurité pour renforcer la sécurité de tous les systèmes, y compris des services améliorés de journalisation, de détection et d’alerte dans toutes les régions, ainsi qu’une surveillance accrue des données et une réévaluation de tous les protocoles. L’environnement informatique reste sécurisé et Nitro n’a constaté aucune activité malveillante depuis l’incident.

      Nitro prend la sûreté et la sécurité des données de nos clients au sérieux, et nous sommes là pour soutenir nos clients de toutes les manières utiles. Nous encourageons toute personne ayant des questions à incident@gonitro.com contacter.