Aggiornamenti di sicurezza
    • Ultimo aggiornamento:10 /25 /2021
      Pubblicato originariamente:10 /25 /2021

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione
      Nitro Pro v13 .49 e prima

      JavaScript local_file_path Vulnerabilità use-after-free dell'oggetto

      Un documento appositamente predisposto può causare la distruzione e il successivo riutilizzo di un oggetto contenente il percorso di un documento, con conseguente vulnerabilità use-after-free, che può portare all'esecuzione di codice nel contesto dell'applicazione. Un utente malintenzionato può convincere un utente ad aprire un documento per attivare questa vulnerabilità.

      CVE-2021 -21796
      RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .49 e prima

      Doppia vulnerabilità gratuita di JavaScript TimeOutObject

      Un documento appositamente predisposto può causare l'archiviazione di un riferimento a un oggetto timeout in due posti diversi. Una volta chiuso, il documento comporterà il rilascio della referenza due volte. Ciò può portare all'esecuzione di codice nel contesto dell'applicazione. Un utente malintenzionato può convincere un utente ad aprire un documento per attivare questa vulnerabilità.

      CVE-2021 -21797
      RisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:9 /10 /2021
      Pubblicato originariamente:9 /10 /2021

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione
      Nitro Pro v13 .47 e prima

      Registra 4 vulnerabilità net parsing
      Apache log 4 versioni net precedenti a 2 . 0 . 10 non disabilita le entità esterne XML durante l'analisi dei file di configurazione net di 4 Ciò consente attacchi basati su XXE in applicazioni che accettano file di configurazione net 4

      Importante: per applicare questa correzione, eseguire l'aggiornamento all'applicazione iManage Desktop della versione 10 . 5 o più recente. Per evitare che i documenti diventino di sola lettura, assicurarsi che tutti i documenti aperti sulla stessa macchina siano chiusi e REGISTRATI.

      CVE-2018 -1285RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .47 e primaJavaScript document.flattenPages
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'esecuzione di codice nel contesto dell'applicazione.
      CVE-2021 -21798RisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:9 /17 /2020
      Pubblicato originariamente:9 /1 /2020

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione
      Nitro Pro v13 .19 e primaOverflow intero di analisi del flusso di oggetti
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con una tabella di riferimenti incrociati che può portare a un errore di superamento dei limiti che causa il danneggiamento della memoria.
      CVE-2020 -6113RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .22 e primaapp.launchURL Iniezione di comando JavaScript
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandi.
      CVE-2020 -25290RisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:9 /1 /2020
      Pubblicato originariamente:9 /1 /2020

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione
      Nitro Pro v13 .22 .0 .414 e primaXRefTable Entry Oggetto mancante – Usa dopo gratis
      Esiste una vulnerabilità quando si apre un documento PDF malformato appositamente predisposto che può portare a una condizione di utilizzo dopo l'assenza.
      CVE-2020 -6115RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .22 .0 .414 e primaRendering di ColorSpace indicizzato – Buffer Overflow
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore indicizzato che può portare a un overflow del buffer che causa il danneggiamento della memoria.
      CVE-2020 -6116RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .22 .0 .414 e primaRendering ColorSpace basato su ICC – Buffer Overflow
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore basato su ICC che può portare a un overflow del buffer che causa il danneggiamento della memoria.
      CVE-2020 -6146RisolutoAggiorna all'ultima versione di Nitro Pro
      Nitro Pro v13 .22 .0 .414 e primaapp.launchURL Iniezione di comando JavaScript
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandi
      NessunoRisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:8 /2 /2020
      Pubblicato originariamente:8 /2 /2020

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione

      Nitro Pro v12 .16 .3 .574 e prima

      Il segno nitro non è interessato

      Firma digitale "attacchi ombra"
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto e firmato digitalmente che può causare la visualizzazione di testo precedentemente nascosto quando il documento viene modificato dopo la firma.
      Per attivare questa vulnerabilità, il target deve aprire un documento dannoso preparato in anticipo da un firmatario attendibile.
      NessunoRisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:5 /8 /2020
      Pubblicato originariamente:5 /8 /2020

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVEStatoSoluzione
      13.9 .1 .155 e primaGestione degli errori XML JavaScript – Accesso a puntatore non inizializzato
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto che può causare l'accesso alla memoria non inizializzato con conseguente potenziale divulgazione di informazioni. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6093RisolutoAggiorna all'ultima versione di Nitro Pro
      13.9 .1 .155 e primaPagine nidificate PDF – Usa dopo gratis
      Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6074RisolutoAggiorna all'ultima versione di Nitro Pro
      13.13 .2 .242 e primaOggetto modello PDF – Integer Overflow o Wraparound
      Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6092RisolutoAggiorna all'ultima versione di Nitro Pro
    • Ultimo aggiornamento:3 /9 /2020
      Pubblicato originariamente:3 /9 /2020

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      13.9 e primaHeap corruzione npdf.dlll
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un danneggiamento dell'heap
      vulnerabilità con la possibilità di esporre i contenuti della memoria.
      CVE-2020 -10222
      13.9 e primaCorruzione dell'heap JBIG2 DecodeStream
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un danneggiamento dell'heap
      vulnerabilità con la possibilità di esporre i contenuti della memoria.
      CVE-2020 -10223

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.13 .2 .242Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Ultimo aggiornamento:1 /9 /2020
      Pubblicato originariamente:10 /31 /2019

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      13.6 e primaJPEG corruzione heap2000 ssizDepth
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5045
      13.6 e primaJPEG corruzione heap2000 yTsiz
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5046
      13.6 e primaUsa dopo CharProcs gratuito
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a use-after-free
      condizione e l'applicazione si blocca.
      CVE-2019 -5047
      13.6 e primaCorruzione dell'heap Spazio colore basato su ICC
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5048
      13.6 e primaPagina corruzione heap Kids
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5050
      13.8 e primaUtilizzare dopo la lunghezza dello streaming gratuito
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a use-after-free
      condizione e l'applicazione si blocca.
      CVE-2019 -5053

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.9 .1 .155Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Ultimo aggiornamento:12 /20 /2019
      Pubblicato originariamente:12 /20 /2019

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      12.0 .0 .112 e primaJBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un fuori limite
      leggere la vulnerabilità e l'applicazione si blocca.
      CVE-2019 -19817
      12.0 .0 .112 e primaJBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un fuori limite
      leggere la vulnerabilità e l'applicazione si blocca.
      CVE-2019 -19818
      12.0 .0 .112 e primaJBIG2 Vulnerabilità alla deferenza del puntatore nullo globale
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un puntatore nullo
      vulnerabilità di deferenza e arresto anomalo dell'applicazione.
      CVE-2019 -19819
      12.17 .0 .584 e primaFile debug.log temporaneo
      In determinate condizioni (ad esempio, una prova scaduta), una temporanea a
      il file "debug.log" può essere creato nel funzionamento di Nitro Pro
      directory. Questo file debug.log può essere manipolato dopo
      l'applicazione viene chiusa normalmente.
      CVE-2019 -19858

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.8 .2 .140Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Ultimo aggiornamento:10 /18 /2019
      Pubblicato originariamente:10 /18 /2019

      Aggiorna

      Nitro sta lavorando attivamente per affrontare diverse potenziali vulnerabilità pubblicate di recente. Dopo essere stati a conoscenza della loro esistenza, abbiamo valutato l'accuratezza delle affermazioni, valutato la gravità e la probabilità di qualsiasi sfruttamento e (in base alla nostra analisi proattiva delle vulnerabilità e alle procedure di gestione esistenti) abbiamo quindi inserito le vulnerabilità nella nostra coda di riparazione.

      Stiamo prendendo sul serio queste vulnerabilità e le affronteremo in un prossimo aggiornamento. Per ulteriori informazioni, è possibile contattare security@gonitro.com.

    • Ultimo aggiornamento:11 /17 /2017
      Pubblicato originariamente:11 /17 /2017

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .6 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità nella funzione Doc.SaveAs che
      potrebbe essere sfruttato da un file PDF appositamente predisposto,
      potenzialmente portando a una scrittura su file che si verifica all'esterno
      del percorso previsto.
      CVE-2017 -7442
      11.0 .6 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità nella funzione Doc.SaveAs che
      potrebbe essere sfruttato da un file PDF appositamente predisposto,
      potenzialmente portando a un lancio di URL che si verifica in
      insieme a un avviso di sicurezza.
      CVE-2017 -7442

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Ultimo aggiornamento:9 /27 /2017
      Pubblicato originariamente:9 /27 /2017

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .5 .271 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di scrittura della memoria che potrebbe potenzialmente essere
      sfruttato quando si apre un file PDF appositamente predisposto, con
      un campo Count specifico, che porta alla corruzione della memoria e
      un incidente. 
      CVE in attesa
      11.0 .5 .271 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità use-after-free che potrebbe potenzialmente
      essere sfruttato quando si apre un file PDF appositamente predisposto
      contenente un JPEG non valido2000 immagine, portando a
      corruzione della memoria e crash.
      CVE in attesa

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Pubblicato originariamente:7 /21 /2017

      Ultimo aggiornamento:8 /25 /2017

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .3 .173 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di scrittura della memoria fuori limite che potrebbe
      potenzialmente essere sfruttato durante l'apertura di un appositamente predisposto
      File PDF, che porta alla corruzione della memoria e a un arresto anomalo.
      CVE-2017 -2796
      11.0 .3 .173 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di heap overflow che potrebbe essere potenzialmente sfruttata da
      quando si apre un file di immagine PCX appositamente realizzato
      , con conseguente corruzione della memoria e crash.
      CVE-2017 -7950

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Pubblicato originariamente:2 /3 /2017

      Ultimo aggiornamento:8 /25 /2017

      Aggiorna

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .3 .134 e prima
      10 .5 .9 .9 e prima
      Un file PDF appositamente predisposto può potenzialmente causare
      corruzione della memoria che porta a un arresto anomalo.
      CVE-2016 -8709
      CVE-2016 -8713
      11.0 .3 .134 e prima
      10 .5 .9 .9 e prima
      Una potenziale vulnerabilità all'esecuzione di codice in modalità remota nel
      Funzionalità di analisi PDF di Nitro Pro.
      CVE-2016 -8711

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui
      10.5 .9 .14 +Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Vulnerabilità di sicurezza di Nitro e politica sui bug bounty

      Politica

      Nitro è orgoglioso di aver richiesto pochi aggiornamenti storici del prodotto per le vulnerabilità della sicurezza. Mantenere le informazioni degli utenti al sicuro è una priorità assoluta e un valore aziendale fondamentale per noi di Nitro. Accogliamo con favore il contributo di ricercatori esterni sulla sicurezza e non vediamo l'ora di premiarli per il loro inestimabile contributo alla sicurezza di tutti gli utenti Nitro.

      Premi

      Nitro fornisce ricompense per i rapporti di vulnerabilità accettati a sua discrezione. La nostra ricompensa minima è di $25 Buono regalo Amazon USD. Gli importi dei premi possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tieni presente che questo non è un concorso o una competizione. Ci riserviamo il diritto di determinare l'importo o anche se debba essere concesso un premio.

      Applicazioni in ambito

      Le applicazioni Nitro Pro, Nitro Sign e Nitro Admin sono idonee per il programma bounty. Inoltre, sono idonee anche tutte le applicazioni della piattaforma partner basata su cloud (ad es. Nitro File Actions). Potremmo comunque premiare qualsiasi cosa con un impatto significativo su tutta la nostra posizione di sicurezza, quindi ti invitiamo a segnalare tali vulnerabilità tramite questo programma.

      Segnalazione e idoneità sulla vulnerabilità della sicurezza

      Tutte le vulnerabilità di sicurezza di Nitro devono essere segnalate via e-mail al Nitro Security Team all'indirizzo security@gonitro.com . Per promuovere la scoperta e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:

      • Condividi con noi il problema di sicurezza in dettaglio, incluso il nome dell'applicazione, la versione/build interessata, i passaggi concisi per riprodurre la vulnerabilità facilmente comprensibili, le informazioni sull'impatto effettivo e potenziale della vulnerabilità e i dettagli su come potrebbe essere sfruttato;
      • Includere un file di prova;
      • Si prega di essere rispettosi delle nostre applicazioni esistenti. L'invio di moduli di spam tramite scanner di vulnerabilità automatizzati non comporterà alcuna ricompensa poiché questi sono esplicitamente fuori portata;
      • Dacci un tempo ragionevole per rispondere al problema prima di rendere pubbliche le informazioni al riguardo;
      • Non accedere o modificare i nostri dati oi dati dei nostri utenti, senza l'esplicito consenso del titolare. Interagisci solo con i tuoi account o account di prova per scopi di ricerca sulla sicurezza;
      • Contattaci immediatamente se incontri inavvertitamente i dati dell'utente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati ed eliminare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Nitro;
      • Agire in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi (inclusa la negazione del servizio); e
      • In caso contrario, rispettare tutte le leggi applicabili.

      Ricompensiamo solo il primo reporter di una vulnerabilità. La divulgazione pubblica della vulnerabilità prima della risoluzione può annullare una ricompensa in sospeso. Ci riserviamo il diritto di squalificare le persone dal programma per comportamenti irrispettosi o distruttivi.

      Non negozieremo in risposta a coercizione o minacce (ad esempio, non negozieremo l'importo del pagamento sotto la minaccia di trattenere la vulnerabilità o la minaccia di divulgare la vulnerabilità o qualsiasi dato esposto al pubblico).

      Processo di vulnerabilità della sicurezza:

      (1 ) Nitro riconoscerà e valuterà qualsiasi vulnerabilità segnalata secondo le istruzioni di cui sopra, in genere entro7 giorni.

      (2 ) Quando viene confermata una vulnerabilità, Nitro condurrà un'analisi dei rischi utilizzando il Common Vulnerability Scoring System (CVSS v3 ) e determinare la risposta più appropriata per i clienti Nitro.

      • Vulnerabilità critiche di sicurezza: problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità elevati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro risolverà le vulnerabilità critiche della sicurezza con un aggiornamento del prodotto alla versione attuale e precedente di Nitro Pro e a tutti i servizi cloud, in base agli aggiornamenti del prodotto e alla politica di tramonto .
      • Vulnerabilità di sicurezza non critiche: problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità da bassi a moderati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro, a sua discrezione, risolverà le vulnerabilità di sicurezza non critiche con un aggiornamento del prodotto solo alla versione corrente di Nitro Pro e tutti i servizi cloud in base agli aggiornamenti del prodotto e alla politica di sospensione .

      (3 ) Nitro progetterà, implementerà e testerà una correzione per tutte le vulnerabilità critiche di sicurezza e fornirà un aggiornamento del prodotto ai clienti, in genere entro90 giorni.

      (4 ) Nitro divulgherà pubblicamente tutte le vulnerabilità critiche per la sicurezza, le versioni interessate e i dettagli rilevanti degli aggiornamenti del prodotto che risolvono i problemi, in questa pagina degli aggiornamenti della sicurezza di Nitro. Nitro non riconosce pubblicamente i singoli ricercatori di sicurezza per i loro contributi.

      Vulnerabilità di sicurezza fuori ambito

      Le seguenti questioni esulano dall'ambito di questa politica & programma di premi:

      • Attacchi che richiedono l'accesso fisico al dispositivo di un utente.
      • Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
      • Best practice mancanti (richiediamo prove di una vulnerabilità di sicurezza).
      • Utilizzo di una libreria nota vulnerabile (senza prove di sfruttabilità).
      • Ingegneria sociale di dipendenti o appaltatori Nitro.
      • Rapporti di cifrari SSL/TLS non sicuri (a meno che tu non disponga di una prova di concetto funzionante e non solo di un rapporto da uno scanner).
      • Vulnerabilità di spoofing del contenuto e iniezione di puro testo (dove è possibile inserire solo testo o un'immagine in una pagina). Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può inserire immagini o rich text (HTML), ma non è idoneo per una taglia.
      • Servizi Nitro a meno che tu non sia in grado di raggiungere IP privati o server Nitro.

      Conseguenze del rispetto di questa politica

      Non perseguiremo azioni civili né avvieremo un reclamo alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte coerenti con questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività non sono coerenti con determinate restrizioni nella nostra politica di utilizzo accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza ai sensi di questa politica. Non presenteremo un reclamo DMCA contro di te per eludere le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni in oggetto.

      Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato la politica sulla vulnerabilità della sicurezza e sui bug bounty di Nitro, Nitro adotterà misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

      Si prega di inviare una segnalazione prima di intraprendere una condotta che potrebbe essere incoerente o non trattata da questa politica.

      La stampa fine

      Sei responsabile del pagamento di eventuali tasse associate ai premi. Possiamo modificare i termini di questo programma o terminare questo programma in qualsiasi momento. Non applicheremo retroattivamente le modifiche apportate a questi termini del programma. Le segnalazioni di persone a cui è vietato per legge pagare non sono idonee per i premi. I dipendenti Nitro e i loro familiari non hanno diritto ad alcun premio.

      Al fine di incoraggiare l'adozione di programmi di bug bounty e promuovere le migliori pratiche di sicurezza uniformi in tutto il settore, Nitro non si riserva alcun diritto in questa politica di bug bounty e quindi sei libero di copiarla e modificarla per i tuoi scopi.

      Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com

    • Aggiornamento sugli incidenti di sicurezza

      A settembre30 ,2020 , Nitro è venuta a conoscenza di un incidente di sicurezza isolato che ha comportato un accesso limitato ai database Nitro da parte di una terza parte non autorizzata.

      Dopo aver appreso di questo incidente, Nitro ha preso provvedimenti immediati per garantire che l'ambiente Nitro fosse sicuro e ha avviato un'indagine con il supporto dei principali esperti di sicurezza informatica e forense. L'indagine è ora completa e Nitro può fornire ulteriori dettagli:

      • L'incidente ha comportato l'accesso a specifici database Nitro, che supportano determinati servizi online e sono stati utilizzati principalmente per l'archiviazione di informazioni relative ai prodotti online gratuiti di Nitro.
      • Il servizio di conversione online gratuito di Nitro non richiede agli utenti di creare un account Nitro o di diventare clienti Nitro. Gli utenti devono semplicemente fornire un indirizzo e-mail a cui vengono consegnati i file convertiti.
      • Non c'è stato alcun impatto su Nitro Pro o Nitro Analytics.
      • I dati utente esposti includevano indirizzi e-mail degli utenti, nomi completi, password con hash e salt altamente sicure, nonché metadati dei documenti in relazione ai servizi online Nitro. Una parte molto piccola delle informazioni includeva nomi di società, titoli e indirizzi IP.
      • Le password non sono state interessate dagli utenti che accedono ai nostri servizi cloud tramite Single Sign-On (SSO).
      • L'indagine ha inoltre identificato un'attività limitata da parte di terzi non autorizzati in una posizione di servizi cloud legacy, con un impatto inferiore a0 .0073 % di dati archiviati in questa posizione. L'attività suggerisce che la terza parte non autorizzata fosse specificamente focalizzata sull'ottenimento di dati relativi alla criptovaluta.

      Dopo aver appreso di questo incidente, Nitro ha effettuato una reimpostazione forzata della password per tutti gli utenti per proteggere ulteriormente gli account dei clienti. Oltre a ciò, le linee guida generali per mantenere una buona igiene informatica includono:

      • Cambiare regolarmente le password degli account online, utilizzare una password separata per l'online banking e utilizzare un password manager per ricordare più password.
      • Non inviare mai tramite e-mail le password per gli account online e confermare se gli account online sono sicuri visitando https://haveibeenpwned.com/ .
      • Abilitare l'autenticazione a più fattori per gli account online ove possibile e garantire l'installazione di un software antivirus aggiornato su qualsiasi dispositivo utilizzato per accedere agli account online.

      Dall'incidente, il team di sicurezza IT di Nitro ha lavorato a stretto contatto con esperti esterni di sicurezza informatica per rafforzare la sicurezza di tutti i sistemi, inclusi servizi avanzati di registrazione, rilevamento e avviso in tutte le regioni, nonché un maggiore monitoraggio dei dati e la rivalutazione di tutti i protocolli . L'ambiente IT rimane sicuro e Nitro non ha rilevato alcuna attività dannosa dall'incidente.

      Nitro prende sul serio la sicurezza e la protezione dei dati dei nostri clienti e siamo qui per supportare i nostri clienti in qualsiasi modo che possa essere utile. Invitiamo chiunque abbia domande a contattare incident@gonitro.com .