-
Ultimo aggiornamento: 03/16/2023
Originariamente pubblicato: 03/16/2023Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.70.2 e precedenti Una vulnerabilità di sicurezza nella versione Zlib, una libreria di compressione dei dati utilizzata da Nitro PDF Pro
È stata scoperta una vulnerabilità di sicurezza nella versione Zlib, che è una libreria di compressione dei dati utilizzata da Nitro PDF Pro.
CVE-2022-37434 Risolto Si aggiorni all'ultima versione di Nitro PDF Pro Nitro Pro v 13.70.2 e precedenti Vulnerabilità OpenSSL: accesso alla risorsa utilizzando un tipo incompatibile («confusione di tipo»)
Vulnerabilità OpenSSL: accesso alla risorsa utilizzando un tipo incompatibile ('Type Confusion') Questa vulnerabilità è stata risolta mediante l'aggiornamento a OpenSSL1. 1. 1t.
CVE-2023-0286 Risolto Si aggiorni all'ultima versione di Nitro PDF Pro -
Ultimo aggiornamento: 12/7/2022
Originariamente pubblicato: 12/7/2022Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.70.0 e precedenti Esecuzione di comandi arbitrari all'interno dell'applicazione
Esiste una vulnerabilità in cui l'applicazione consente ai documenti PDF appositamente creati di eseguire comandi arbitrari all'interno dell'applicazione.
CVE-2022-46406 Risolto Si aggiorni all'ultima versione di Nitro PDF Pro -
Ultimo aggiornamento: 10/25/2021
Originariamente pubblicato: 10/25/2021Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.49 e precedenti Vulnerabilità dell'oggetto local_file_path JavaScript use-after-free
Un documento appositamente creato può far sì che un oggetto contenente il percorso di un documento venga distrutto e poi riutilizzato in seguito, dando luogo a una vulnerabilità use-after-free, che può portare all'esecuzione di codice nel contesto dell'applicazione. Un aggressore può convincere un utente ad aprire un documento per attivare questa vulnerabilità.
CVE-2021-21796 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.49 e precedenti Vulnerabilità JavaScript TimeOutObject doppiamente libero
Un documento appositamente creato può far sì che un riferimento a un oggetto timeout venga memorizzato in due luoghi diversi. Quando viene chiuso, il documento comporta il rilascio del riferimento due volte. Questo può portare all'esecuzione di codice nel contesto dell'applicazione. Un aggressore può convincere un utente ad aprire un documento per attivare questa vulnerabilità.
CVE-2021-21797 Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 9/10/2021
Originariamente pubblicato: 9/10/2021Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.47 e precedenti Vulnerabilità nel parsing di Log4net
Apache log4net versioni precedenti a 2.0.10 non disabilitare le entità esterne XML durante l'analisi dei file di configurazione log4net. Ciò consente attacchi basati su XXE nelle applicazioni che accettano file di configurazione log4net controllati dall'aggressore.Importante: per applicare questa correzione, esegua l'aggiornamento all'applicazione iManage Desktop della versione 10.5 o più recente. Per evitare che i documenti diventino di sola lettura, la preghiamo di assicurarsi che tutti i documenti aperti sulla stessa macchina siano chiusi e che sia stato effettuato il CHECK IN.
CVE-2018-1285 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.47 e precedenti JavaScript document.flattenPages
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato e contenente JavaScript, che può portare all'esecuzione di codice nel contesto dell'applicazione.CVE-2021-21798 Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 9/17/2020
Originariamente pubblicato: 9/1/2020Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.19 e precedenti Overflow di interi nel parsing del flusso di oggetti
Esiste una vulnerabilità durante l'apertura di un documento PDF appositamente creato con una tabella di riferimenti incrociati, che può portare a un errore out of bounds che causa la corruzione della memoria.CVE-2020-6113 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.22 e precedenti app.launchURL Iniezione di comando JavaScript
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato e contenente JavaScript, che può portare all'iniezione di comandi.CVE-2020-25290 Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 9/1/2020
Originariamente pubblicato: 9/1/2020Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 13.22.0.414 e precedenti L'oggetto mancante della voce XRefTable - Utilizzi dopo la gratuità
Esiste una vulnerabilità all'apertura di un documento PDF malformato e appositamente creato, che può portare a una condizione di use-after-free.CVE-2020-6115 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.22.0.414 e precedenti Rendering ColorSpace indicizzato - Overflow del buffer
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato con uno spazio colore indicizzato, che può portare a un buffer overflow che causa la corruzione della memoria.CVE-2020-6116 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.22.0.414 e precedenti Rendering dello spazio colore basato su ICC - Overflow del buffer
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato con uno spazio colore basato su ICC, che può portare a un buffer overflow che causa la corruzione della memoria.CVE-2020-6146 Risolto Si aggiorni alla versione più recente di Nitro Pro Nitro Pro v 13.22.0.414 e precedenti app.launchURL Iniezione di comando JavaScript
Esiste una vulnerabilità durante l'apertura di un documento PDF appositamente creato e contenente JavaScript, che può portare all'iniezione di comandi.Nessuno Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 8/2/2020
Originariamente pubblicato: 8/2/2020Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v 12.16.3.574 e precedenti
Nitro Sign non è interessato
Firma digitale "attacchi ombra"
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato e firmato digitalmente, che può far apparire del testo precedentemente nascosto quando il documento viene modificato dopo la firma.
Per attivare questa vulnerabilità, l'obiettivo deve aprire un documento dannoso preparato in anticipo da un firmatario fidato.Nessuno Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 5/8/2020
Originariamente pubblicato: 5/8/2020Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione 13.9.1.155 e precedenti Gestione degli errori JavaScript XML - Accesso al puntatore non inizializzato
Esiste una vulnerabilità all'apertura di un documento PDF appositamente creato, che può causare un accesso alla memoria non inizializzato con conseguente potenziale divulgazione di informazioni. Per attivare questa vulnerabilità, l'obiettivo deve aprire un file dannoso.CVE-2020-6093 Risolto Si aggiorni alla versione più recente di Nitro Pro 13.9.1.155 e precedenti Pagine annidate in PDF - Utilizza After Free
Esiste una vulnerabilità quando si apre un documento PDF maligno appositamente creato, che può portare ad un accesso in scrittura fuori dai limiti con il potenziale di corrompere la memoria. Per attivare questa vulnerabilità, l'obiettivo deve aprire un file dannoso.CVE-2020-6074 Risolto Si aggiorni alla versione più recente di Nitro Pro 13.13.2.242 e precedenti Oggetto PDF Pattern - Overflow di un intero o avvolgimento
Esiste una vulnerabilità quando si apre un documento PDF maligno appositamente creato, che può portare ad un accesso in scrittura fuori dai limiti con il potenziale di corrompere la memoria. Per attivare questa vulnerabilità, l'obiettivo deve aprire un file dannoso.CVE-2020-6092 Risolto Si aggiorni alla versione più recente di Nitro Pro -
Ultimo aggiornamento: 3/9/2020
Originariamente pubblicato: 3/9/2020Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 13.9 e precedente Corruzione dell'heap npdf.dlll
Esiste una vulnerabilità quando si apre un documento PDF maligno appositamente creato
che può portare a una vulnerabilità di corruzione dell'heap
con il potenziale di esporre il contenuto della memoria.CVE-2020-10222 13.9 e precedente Corruzione dell'heap JBIG2DecodeStream
Esiste una vulnerabilità quando si apre un documento PDF
dannoso appositamente realizzato, che può portare a una vulnerabilità di corruzione dell'heap
con il potenziale di esporre il contenuto della memoria.CVE-2020-10223 Soluzione
Nitro raccomanda ai clienti che hanno acquistato tramite il negozio eCommerce Nitro di aggiornare il proprio software alla versione più recente, riportata di seguito. I clienti con piani Team possono contattare il loro Account Manager Nitro per accedere agli installatori aggiornati e alle istruzioni per la distribuzione. I clienti con piani Enterprise che hanno un Customer Success Manager assegnato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.13.2.242 Si prega di aggiornare alla versione più recente di Nitro Pro 13 disponibile qui Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Ultimo aggiornamento: 1/9/2020
Originariamente pubblicato: 10/31/2019Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 13.6 e precedente Corruzione dell'heap JPEG2000 ssizDepth
Esiste una vulnerabilità all'apertura di un documento PDF
dannoso appositamente realizzato, che può portare alla corruzione dell'heap
e al crash dell'applicazione. L'esecuzione di codice remoto arbitrario
non è stata provata, ma potrebbe essere possibile.CVE-2019-5045 13.6 e precedente Corruzione dell'heap JPEG2000 yTsiz
Esiste una vulnerabilità durante l'apertura di un documento PDF
dannoso appositamente creato, che può portare alla corruzione dell'heap
e al crash dell'applicazione. L'esecuzione di codice remoto arbitrario
non è stata provata, ma potrebbe essere possibile.CVE-2019-5046 13.6 e precedente Use After Free CharProcs
Esiste una vulnerabilità durante l'apertura di un documento PDF maligno appositamente realizzato
che può portare alla condizione use-after-free
e al crash dell'applicazione.CVE-2019-5047 13.6 e precedente Corruzione dell'heap Spazio colore basato su ICC
Esiste una vulnerabilità durante l'apertura di un documento PDF maligno appositamente realizzato
che può portare alla corruzione dell'heap
e al crash dell'applicazione. L'esecuzione di codice remoto arbitrario
non è stata provata, ma potrebbe essere possibile.CVE-2019-5048 13.6 e precedente Heap Corruption Page Kids
Esiste una vulnerabilità durante l'apertura di un documento PDF
dannoso appositamente realizzato, che può portare alla corruzione dell'heap
e al crash dell'applicazione. L'esecuzione di codice remoto arbitrario
non è stata provata, ma potrebbe essere possibile.CVE-2019-5050 13.8 e precedente Lunghezza del flusso Use After Free
Esiste una vulnerabilità quando si apre un documento PDF maligno appositamente realizzato
che può portare alla condizione use-after-free
e al crash dell'applicazione.CVE-2019-5053 Soluzione
Nitro raccomanda ai clienti che hanno acquistato tramite il negozio eCommerce Nitro di aggiornare il proprio software alla versione più recente, riportata di seguito. I clienti con piani Team possono contattare il loro Account Manager Nitro per accedere agli installatori aggiornati e alle istruzioni per la distribuzione. I clienti con piani Enterprise che hanno un Customer Success Manager assegnato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.9.1.155 Si prega di aggiornare alla versione più recente di Nitro Pro 13 disponibile qui Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Ultimo aggiornamento: 12/20/2019
Originariamente pubblicato: 12/20/2019Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 12.0.0.112 e precedente Vulnerabilità di lettura fuori dai limiti di JBIG2Decode
Esiste una vulnerabilità all'apertura di un documento PDF
dannoso appositamente creato, che può portare a una vulnerabilità di lettura fuori dai limiti
e al crash dell'applicazione.CVE-2019-19817 12.0.0.112 e precedente Vulnerabilità di lettura fuori dai limiti di JBIG2Decode
Esiste una vulnerabilità all'apertura di un documento PDF
dannoso appositamente creato, che può portare a una vulnerabilità di lettura fuori dai limiti
e al crash dell'applicazione.CVE-2019-19818 12.0.0.112 e precedente Vulnerabilità JBIG2Globals Null Pointer Deference
Esiste una vulnerabilità all'apertura di un documento PDF
maligno appositamente realizzato, che può portare a una vulnerabilità null pointer
deference e al crash dell'applicazione.CVE-2019-19819 12.17.0.584 e precedente File temporaneo debug.log
In alcune condizioni (ad esempio, una prova scaduta), viene creato un file temporaneo
" debug.log" può essere creato nella directory di lavoro di Nitro Pro
. Questo file debug.log può essere manipolato dopo che
l'applicazione è stata chiusa nel modo normale.CVE-2019-19858 Soluzione
Nitro raccomanda ai clienti che hanno acquistato tramite il negozio eCommerce Nitro di aggiornare il proprio software alla versione più recente, riportata di seguito. I clienti con piani Team possono contattare il loro Account Manager Nitro per accedere agli installatori aggiornati e alle istruzioni per la distribuzione. I clienti con piani Enterprise che hanno un Customer Success Manager assegnato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.8.2.140 Si prega di aggiornare alla versione più recente di Nitro Pro 13 disponibile qui Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Ultimo aggiornamento: 10/18/2019
Originariamente pubblicato: 10/18/2019Aggiorna
Nitro sta lavorando attivamente per risolvere diverse potenziali vulnerabilità pubblicate di recente. Una volta venuti a conoscenza della loro esistenza, abbiamo valutato l'accuratezza delle richieste, la gravità e la probabilità di sfruttamento e (in base alle nostre procedure di analisi e gestione delle vulnerabilità proattive esistenti) abbiamo inserito le vulnerabilità nella nostra coda di riparazione.
Stiamo prendendo sul serio queste vulnerabilità e le affronteremo in un prossimo aggiornamento. Per ulteriori informazioni, può contattare security@gonitro.com.
-
Ultimo aggiornamento: 11/17/2017
Originariamente pubblicato: 11/17/2017Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0.6 e precedente
10.5.9.14 e precedenteEsiste una vulnerabilità nella funzione Doc.SaveAs che
potrebbe essere sfruttata da un file PDF appositamente creato,
potenzialmente portando alla scrittura di un file al di fuori
del percorso previsto.CVE-2017-7442 11.0.6 e precedente
10.5.9.14 e precedenteEsiste una vulnerabilità nella funzione Doc.SaveAs che
potrebbe essere sfruttata da un file PDF appositamente creato,
potenzialmente portando al lancio di un URL in
concomitanza con un Avviso di sicurezza.CVE-2017-7442 Soluzione
Nitro raccomanda agli utenti Personal (individuali) di aggiornare il proprio software all'ultima versione riportata di seguito. I clienti business possono contattare il loro Account Manager Nitro per accedere agli aggiornamenti di sicurezza e alle istruzioni di implementazione. I clienti Enterprise con un Customer Success Manager dedicato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0.8.470 Si prega di aggiornare alla versione più recente di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di risolvere questa vulnerabilità in Nitro Pro 13. Esegua l'aggiornamento alla versione più recente di Nitro Pro 11, disponibile qui . Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Ultimo aggiornamento: 9/27/2017
Originariamente pubblicato: 9/27/2017Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0.5.271 e precedente
10.5.9.14 e precedenteUna vulnerabilità di scrittura della memoria che potrebbe essere
sfruttata quando si apre un file PDF appositamente creato, con
un campo Count specifico, che porta alla corruzione della memoria e
a un arresto anomalo.CVE in attesa 11.0.5.271 e precedente
10.5.9.14 e precedenteEsiste una vulnerabilità use-after-free che potrebbe potenzialmente
essere sfruttata quando si apre un file PDF appositamente realizzato
contenente un'immagine JPEG2000 malformata, con conseguente corruzione della memoria
e arresto anomalo.CVE in attesa Soluzione
Nitro raccomanda agli utenti Personal (individuali) di aggiornare il proprio software all'ultima versione riportata di seguito. I clienti business possono contattare il loro Account Manager Nitro per accedere agli aggiornamenti di sicurezza e alle istruzioni di implementazione. I clienti Enterprise con un Customer Success Manager dedicato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0.8.470 Si prega di aggiornare alla versione più recente di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di risolvere questa vulnerabilità in Nitro Pro 13. Esegua l'aggiornamento alla versione più recente di Nitro Pro 11, disponibile qui . Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Pubblicato originariamente: 7/21/2017
Ultimo aggiornamento: 8/25/2017
Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0.3.173 e precedente
10.5.9.14 e precedenteUna vulnerabilità di scrittura della memoria non vincolata che potrebbe
essere sfruttata all'apertura di un file PDF
appositamente creato, con conseguente corruzione della memoria e arresto anomalo.CVE-2017-2796 11.0.3.173 e precedente
10.5.9.14 e precedenteUna vulnerabilità di heap overflow che potrebbe essere potenzialmente sfruttata da
quando si apre un file di immagine PCX appositamente realizzato
, con conseguente corruzione della memoria e crash.CVE-2017-7950 Soluzione
Nitro raccomanda agli utenti Personal (individuali) di aggiornare il proprio software alla versione più recente, che include le correzioni per queste vulnerabilità. I clienti business possono contattare il loro Account Manager Nitro per accedere all'ultima versione e alle istruzioni per la distribuzione. I clienti Enterprise con un Customer Success Manager dedicato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0.8.470 Si prega di aggiornare alla versione più recente di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di risolvere questa vulnerabilità in Nitro Pro 13. Esegua l'aggiornamento alla versione più recente di Nitro Pro 11, disponibile qui . Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Pubblicato originariamente: 2/3/2017
Ultimo aggiornamento: 8/25/2017
Aggiorna
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0.3.134 e precedente
10.5.9.9 e precedenteUn file PDF appositamente creato può potenzialmente causare la corruzione della memoria di
, con conseguente crash.CVE-2016-8709
CVE-2016-871311.0.3.134 e precedente
10.5.9.9 e precedenteUna potenziale vulnerabilità di esecuzione di codice remoto nella funzionalità di parsing PDF
di Nitro Pro.CVE-2016-8711 Soluzione
Nitro raccomanda agli utenti Personal (individuali) di aggiornare il proprio software alla versione più recente, che include le correzioni per queste vulnerabilità. I clienti business possono contattare il loro Account Manager Nitro per accedere all'ultima versione e alle istruzioni per la distribuzione. I clienti Enterprise con un Customer Success Manager dedicato riceveranno i dettagli delle release aggiornate che risolvono i problemi.
Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Nitro Security Vulnerabilità & Politica di Bug Bounty
Politica
Nitro è orgogliosa di aver richiesto pochi aggiornamenti storici del prodotto per vulnerabilità di sicurezza. Mantenere le informazioni degli utenti sicure e protette è una priorità assoluta e un valore aziendale fondamentale per noi di Nitro. Accogliamo con favore il contributo dei ricercatori di sicurezza esterni e non vediamo l'ora di premiarli per il loro prezioso contributo alla sicurezza di tutti gli utenti di Nitro.
Ricompense
Nitro offre ricompense per le segnalazioni di vulnerabilità accettate, a sua discrezione. La nostra ricompensa minima è una carta regalo Amazon da $25 USD. Gli importi delle ricompense possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tenga presente che non si tratta di un concorso o di una competizione. Ci riserviamo il diritto di determinare l'importo o addirittura se una ricompensa debba essere concessa.
Applicazioni in ambito
Le applicazioni Nitro Pro, Nitro Sign e Nitro Admin sono idonee al programma bounty. Inoltre, sono idonee anche le applicazioni della piattaforma partner basata sul cloud (ad esempio Nitro File Actions). Potremmo comunque premiare qualsiasi cosa che abbia un impatto significativo su tutta la nostra struttura di sicurezza, quindi la incoraggiamo a segnalare tali vulnerabilità tramite questo programma.
Segnalazione delle vulnerabilità di sicurezza & Idoneità
Tutte le vulnerabilità di sicurezza di Nitro devono essere segnalate via e-mail al Nitro Security Team all'indirizzo security@gonitro.com. Per promuovere la scoperta e la segnalazione delle vulnerabilità e aumentare la sicurezza degli utenti, le chiediamo di:
- Condivida con noi il problema di sicurezza in modo dettagliato, includendo il nome dell'applicazione, la versione/build interessata, passaggi concisi per riprodurre la vulnerabilità che siano facilmente comprensibili, informazioni sull'impatto effettivo e potenziale della vulnerabilità e dettagli su come potrebbe essere sfruttata;
- Includa un file di prova del concetto;
- La preghiamo di rispettare le nostre applicazioni esistenti. L'invio di moduli di spam attraverso scanner di vulnerabilità automatizzati non darà luogo ad alcuna ricompensa bounty, in quanto questi sono esplicitamente fuori dall'ambito di applicazione;
- Ci dia un tempo ragionevole per rispondere al problema prima di rendere pubbliche le informazioni al riguardo;
- Non acceda o modifichi i nostri dati o quelli dei nostri utenti, senza l'esplicita autorizzazione del proprietario. Interagisca solo con i propri account o con account di prova per scopi di ricerca sulla sicurezza;
- Ci contatti immediatamente se inavvertitamente incontra i dati dell'utente. Non visualizzi, modifichi, salvi, archivi, trasferisca o acceda in altro modo ai dati e cancelli immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Nitro;
- Agire in buona fede per evitare violazioni della privacy, distruzione dei dati e interruzione o degrado dei nostri servizi (compresa la negazione del servizio); e
- Altrimenti, si attenga a tutte le leggi vigenti.
Premiamo solo il primo segnalatore di una vulnerabilità. La divulgazione pubblica della vulnerabilità prima della risoluzione può annullare una ricompensa in corso. Ci riserviamo il diritto di squalificare le persone dal programma in caso di comportamento irrispettoso o di disturbo.
Non negozieremo in risposta a costrizioni o minacce (ad esempio, non negozieremo l'importo del pagamento sotto la minaccia di trattenere la vulnerabilità o la minaccia di rendere pubblica la vulnerabilità o qualsiasi dato esposto).
Processo di vulnerabilità della sicurezza:
(1) Nitro prenderà atto e valuterà qualsiasi vulnerabilità segnalata secondo le istruzioni di cui sopra, in genere entro 7 giorni.
(2) Quando una vulnerabilità viene confermata, Nitro condurrà un'analisi del rischio utilizzando il Common Vulnerability Scoring System (CVSS v3) e determinerà la risposta più appropriata per i clienti Nitro.
- Vulnerabilità di sicurezza critiche: Problemi all'interno del software che, se non vengono risolti, rappresentano un rischio e una probabilità elevati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro risolverà le vulnerabilità di sicurezza critiche con un aggiornamento del prodotto per la versione attuale e precedente di Nitro Pro, e per tutti i servizi cloud, in base alla Politica sul tramonto dei prodotti & .
- Vulnerabilità di sicurezza non critiche: Problemi all'interno del software che, se non vengono risolti, comportano un rischio e una probabilità da bassa a moderata di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro, a sua discrezione, risolverà le vulnerabilità di sicurezza non critiche con un aggiornamento del prodotto alla versione corrente di Nitro Pro e di tutti i servizi cloud, in base alla Politica sul Tramonto & .
(3) Nitro progetterà, implementerà & testerà una correzione per tutte le vulnerabilità di sicurezza critiche e fornirà un aggiornamento del prodotto ai clienti, in genere entro 90 giorni.
(4) Nitro divulgherà pubblicamente tutte le vulnerabilità critiche di sicurezza, le versioni interessate e i dettagli pertinenti degli aggiornamenti del prodotto che risolvono i problemi, su questa pagina Aggiornamenti di sicurezza di Nitro. Nitro non riconosce pubblicamente i singoli ricercatori di sicurezza per i loro invii.
Vulnerabilità di sicurezza fuori portata
Le seguenti questioni esulano dall'ambito di questa politica & programma di premi:
- Attacchi che richiedono l'accesso fisico al dispositivo dell'utente.
- Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
- Mancano le best practice (richiediamo la prova di una vulnerabilità della sicurezza).
- Utilizzo di una libreria vulnerabile nota (senza prove di sfruttabilità).
- Ingegneria sociale dei dipendenti o degli appaltatori di Nitro.
- Segnalazioni di cifrari SSL/TLS insicuri (a meno che non disponga di una prova di concetto funzionante, e non solo di una segnalazione di uno scanner).
- Vulnerabilità di spoofing dei contenuti e di iniezione di testo puro (dove è possibile iniettare solo testo o un'immagine in una pagina). Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può iniettare un'immagine o un testo ricco (HTML), ma non è eleggibile per una taglia.
- Servizi Nitro, a meno che non sia in grado di colpire IP privati o server Nitro.
Conseguenze del rispetto di questa politica
Non intraprenderemo azioni civili né avvieremo una denuncia alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte in conformità a questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le sue attività non sono coerenti con alcune restrizioni della nostra Politica d'Uso Accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza ai sensi di questa politica. Non presenteremo un reclamo DMCA contro di lei per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni nell'ambito.
Se viene avviata un'azione legale da parte di terzi contro di lei e lei ha rispettato la Politica di sicurezza delle vulnerabilità & Bug Bounty di Nitro, Nitro prenderà provvedimenti per rendere noto che le sue azioni sono state condotte in conformità con questa politica.
La preghiamo di inviarci una segnalazione prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o non affrontata.
La stampa fine
Lei è responsabile del pagamento di eventuali tasse associate ai premi. Possiamo modificare i termini di questo programma o interromperlo in qualsiasi momento. Non applicheremo eventuali modifiche apportate a questi termini del programma in modo retroattivo. Le segnalazioni provenienti da persone alle quali la legge vieta di pagare non sono ammissibili ai premi. I dipendenti di Nitro e i loro familiari non possono beneficiare di alcun premio.
Al fine di incoraggiare l'adozione di programmi di bug bounty e di promuovere le migliori pratiche di sicurezza uniformi in tutto il settore, Nitro non si riserva alcun diritto su questa politica di bug bounty e quindi lei è libero di copiarla e modificarla per i suoi scopi.
Per ulteriori informazioni, la preghiamo di contattare il Team Nitro Security all'indirizzo security@gonitro.com.
-
Aggiornamento sugli incidenti di sicurezza
Il 30, 2020 settembre, Nitro è venuta a conoscenza di un incidente di sicurezza isolato che ha comportato un accesso limitato ai database Nitro da parte di una terza parte non autorizzata.
Dopo essere venuta a conoscenza di questo incidente, Nitro si è attivata immediatamente per garantire la sicurezza dell'ambiente Nitro e ha avviato un'indagine con il supporto dei principali esperti di cybersecurity e forense. L'indagine è stata completata e Nitro è in grado di fornire ulteriori dettagli:
- L'incidente ha riguardato l'accesso a specifici database di Nitro, che supportano alcuni servizi online e sono stati utilizzati principalmente per l'archiviazione di informazioni legate ai prodotti online gratuiti di Nitro.
- Il servizio di conversione online gratuito di Nitro non richiede agli utenti di creare un account Nitro o di diventare clienti Nitro. Gli utenti devono semplicemente fornire un indirizzo e-mail a cui consegnare i file convertiti.
- Non c'è stato alcun impatto su Nitro Pro o Nitro Analytics.
- I dati degli utenti esposti includevano indirizzi e-mail degli utenti, nomi completi, password altamente sicure con hash e salatura, oltre a metadati di documenti in relazione ai servizi online di Nitro. Una parte molto piccola delle informazioni comprendeva nomi di aziende, titoli e indirizzi IP.
- Le password non sono state interessate per gli utenti che accedono ai nostri servizi cloud tramite Single Sign-On (SSO).
- L'indagine ha inoltre identificato un'attività limitata da parte di terzi non autorizzati in una sede di servizi cloud legacy, con un impatto inferiore allo 0.0073% dei dati archiviati in questa sede. L'attività suggerisce che la terza parte non autorizzata era specificamente concentrata sull'ottenimento di dati relativi alle criptovalute.
Dopo aver appreso di questo incidente, Nitro ha effettuato una reimpostazione forzata della password per tutti gli utenti, per proteggere ulteriormente gli account dei clienti. Oltre a questo, la guida generale per mantenere una buona igiene informatica include:
- Cambiare regolarmente le password degli account online, utilizzare una password separata per l'online banking e utilizzare un password manager per ricordare più password.
- Non invii mai per e-mail le password dei conti online e confermi se i conti online sono sicuri visitandohttps://haveibeenpwned.com/.
- Abilitare l'autenticazione a più fattori per i conti online, ove possibile, e garantire l'installazione di un software antivirus aggiornato su qualsiasi dispositivo utilizzato per accedere ai conti online.
Dopo l'incidente, il team di sicurezza informatica di Nitro ha lavorato a stretto contatto con esperti esterni di cybersecurity per rafforzare la sicurezza di tutti i sistemi, compresi i servizi di registrazione, rilevamento e allerta potenziati in tutte le regioni, nonché un maggiore monitoraggio dei dati e una nuova valutazione di tutti i protocolli. L'ambiente IT rimane sicuro e Nitro non ha riscontrato alcuna attività dannosa dopo l'incidente.
Nitro prende sul serio la sicurezza dei dati dei nostri clienti e siamo qui per supportare i nostri clienti in qualsiasi modo possa essere utile. Incoraggiamo chiunque abbia domande a contattareincident@gonitro.com.
Aggiornamenti di sicurezza