-
Ultimo aggiornamento:10 /25 /2021
Pubblicato originariamente:10 /25 /2021Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v13 .49 e prima JavaScript local_file_path Vulnerabilità use-after-free dell'oggetto
Un documento appositamente predisposto può causare la distruzione e il successivo riutilizzo di un oggetto contenente il percorso di un documento, con conseguente vulnerabilità use-after-free, che può portare all'esecuzione di codice nel contesto dell'applicazione. Un utente malintenzionato può convincere un utente ad aprire un documento per attivare questa vulnerabilità.
CVE-2021 -21796 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .49 e prima Doppia vulnerabilità gratuita di JavaScript TimeOutObject
Un documento appositamente predisposto può causare l'archiviazione di un riferimento a un oggetto timeout in due posti diversi. Una volta chiuso, il documento comporterà il rilascio della referenza due volte. Ciò può portare all'esecuzione di codice nel contesto dell'applicazione. Un utente malintenzionato può convincere un utente ad aprire un documento per attivare questa vulnerabilità.
CVE-2021 -21797 Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:9 /10 /2021
Pubblicato originariamente:9 /10 /2021Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v13 .47 e prima Registra 4 vulnerabilità net parsing
Apache log 4 versioni net precedenti a 2 . 0 . 10 non disabilita le entità esterne XML durante l'analisi dei file di configurazione net di 4 Ciò consente attacchi basati su XXE in applicazioni che accettano file di configurazione net 4Importante: per applicare questa correzione, eseguire l'aggiornamento all'applicazione iManage Desktop della versione 10 . 5 o più recente. Per evitare che i documenti diventino di sola lettura, assicurarsi che tutti i documenti aperti sulla stessa macchina siano chiusi e REGISTRATI.
CVE-2018 -1285 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .47 e prima JavaScript document.flattenPages
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'esecuzione di codice nel contesto dell'applicazione.CVE-2021 -21798 Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:9 /17 /2020
Pubblicato originariamente:9 /1 /2020Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v13 .19 e prima Overflow intero di analisi del flusso di oggetti
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con una tabella di riferimenti incrociati che può portare a un errore di superamento dei limiti che causa il danneggiamento della memoria.CVE-2020 -6113 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .22 e prima app.launchURL Iniezione di comandi JavaScript
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandi.CVE-2020 -25290 Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:9 /1 /2020
Pubblicato originariamente:9 /1 /2020Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v13 .22 .0 .414 e prima XRefTable Entry Oggetto mancante – Usa dopo gratis
Esiste una vulnerabilità quando si apre un documento PDF malformato appositamente predisposto che può portare a una condizione di utilizzo dopo l'assenza.CVE-2020 -6115 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .22 .0 .414 e prima Rendering di ColorSpace indicizzato – Buffer Overflow
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore indicizzato che può portare a un overflow del buffer che causa il danneggiamento della memoria.CVE-2020 -6116 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .22 .0 .414 e prima Rendering ColorSpace basato su ICC – Buffer Overflow
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore basato su ICC che può portare a un overflow del buffer che causa il danneggiamento della memoria.CVE-2020 -6146 Risoluto Aggiorna all'ultima versione di Nitro Pro Nitro Pro v13 .22 .0 .414 e prima app.launchURL Iniezione di comandi JavaScript
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandiNessuno Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:8 /2 /2020
Pubblicato originariamente:8 /2 /2020Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione Nitro Pro v12 .16 .3 .574 e prima
Il segno nitro non è interessato
Firma digitale "attacchi ombra"
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto e firmato digitalmente che può causare la visualizzazione di testo precedentemente nascosto quando il documento viene modificato dopo la firma.
Per attivare questa vulnerabilità, il target deve aprire un documento dannoso preparato in anticipo da un firmatario attendibile.Nessuno Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:5 /8 /2020
Pubblicato originariamente:5 /8 /2020Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE Stato Soluzione 13.9 .1 .155 e prima Gestione degli errori XML JavaScript – Accesso a puntatore non inizializzato
Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto che può causare l'accesso alla memoria non inizializzato con conseguente potenziale divulgazione di informazioni. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.CVE-2020 -6093 Risoluto Aggiorna all'ultima versione di Nitro Pro 13.9 .1 .155 e prima Pagine nidificate PDF – Usa dopo gratis
Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.CVE-2020 -6074 Risoluto Aggiorna all'ultima versione di Nitro Pro 13.13 .2 .242 e prima Oggetto modello PDF – Integer Overflow o Wraparound
Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.CVE-2020 -6092 Risoluto Aggiorna all'ultima versione di Nitro Pro -
Ultimo aggiornamento:3 /9 /2020
Pubblicato originariamente:3 /9 /2020Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 13.9 e prima Heap corruzione npdf.dlll
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a un danneggiamento dell'heap
vulnerabilità con la possibilità di esporre i contenuti della memoria.CVE-2020 -10222 13.9 e prima Corruzione dell'heap JBIG2 DecodeStream
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a un danneggiamento dell'heap
vulnerabilità con la possibilità di esporre i contenuti della memoria.CVE-2020 -10223 Soluzione
Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.13 .2 .242 Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Ultimo aggiornamento:1 /9 /2020
Pubblicato originariamente:10 /31 /2019Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 13.6 e prima JPEG corruzione heap2000 ssizDepth
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare alla corruzione dell'heap
e l'applicazione si blocca. Codice remoto arbitrario
l'esecuzione non è stata dimostrata ma potrebbe essere possibile.CVE-2019 -5045 13.6 e prima JPEG corruzione heap2000 yTsiz
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare alla corruzione dell'heap
e l'applicazione si blocca. Codice remoto arbitrario
l'esecuzione non è stata dimostrata ma potrebbe essere possibile.CVE-2019 -5046 13.6 e prima Usa dopo CharProcs gratuito
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a use-after-free
condizione e l'applicazione si blocca.CVE-2019 -5047 13.6 e prima Corruzione dell'heap Spazio colore basato su ICC
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare alla corruzione dell'heap
e l'applicazione si blocca. Codice remoto arbitrario
l'esecuzione non è stata dimostrata ma potrebbe essere possibile.CVE-2019 -5048 13.6 e prima Pagina corruzione heap Kids
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare alla corruzione dell'heap
e l'applicazione si blocca. Codice remoto arbitrario
l'esecuzione non è stata dimostrata ma potrebbe essere possibile.CVE-2019 -5050 13.8 e prima Utilizzare dopo la lunghezza dello streaming gratuito
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a use-after-free
condizione e l'applicazione si blocca.CVE-2019 -5053 Soluzione
Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.9 .1 .155 Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Ultimo aggiornamento:12 /20 /2019
Pubblicato originariamente:12 /20 /2019Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 12.0 .0 .112 e prima JBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a un fuori limite
leggere la vulnerabilità e l'applicazione si blocca.CVE-2019 -19817 12.0 .0 .112 e prima JBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a un fuori limite
leggere la vulnerabilità e l'applicazione si blocca.CVE-2019 -19818 12.0 .0 .112 e prima JBIG2 Vulnerabilità alla deferenza del puntatore nullo globale
Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
documento PDF dannoso che può portare a un puntatore nullo
vulnerabilità di deferenza e arresto anomalo dell'applicazione.CVE-2019 -19819 12.17 .0 .584 e prima File debug.log temporaneo
In determinate condizioni (ad esempio, una prova scaduta), una temporanea a
il file "debug.log" può essere creato nel funzionamento di Nitro Pro
directory. Questo file debug.log può essere manipolato dopo
l'applicazione viene chiusa normalmente.CVE-2019 -19858 Soluzione
Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 13.8 .2 .140 Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Ultimo aggiornamento:10 /18 /2019
Pubblicato originariamente:10 /18 /2019Aggiornare
Nitro sta lavorando attivamente per affrontare diverse potenziali vulnerabilità pubblicate di recente. Dopo essere stati a conoscenza della loro esistenza, abbiamo valutato l'accuratezza delle affermazioni, valutato la gravità e la probabilità di qualsiasi sfruttamento e (in base alla nostra analisi proattiva delle vulnerabilità e alle procedure di gestione esistenti) abbiamo quindi inserito le vulnerabilità nella nostra coda di riparazione.
Stiamo prendendo sul serio queste vulnerabilità e le affronteremo in un prossimo aggiornamento. Per ulteriori informazioni, è possibile contattare security@gonitro.com.
-
Ultimo aggiornamento:11 /17 /2017
Pubblicato originariamente:11 /17 /2017Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0 .6 e prima
10 .5 .9 .14 e primaEsiste una vulnerabilità nella funzione Doc.SaveAs che
potrebbe essere sfruttato da un file PDF appositamente predisposto,
potenzialmente portando a una scrittura su file che si verifica all'esterno
del percorso previsto.CVE-2017 -7442 11.0 .6 e prima
10 .5 .9 .14 e primaEsiste una vulnerabilità nella funzione Doc.SaveAs che
potrebbe essere sfruttato da un file PDF appositamente predisposto,
potenzialmente portando a un lancio di URL che si verifica in
insieme a un avviso di sicurezza.CVE-2017 -7442 Soluzione
Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0 .8 .470 Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Ultimo aggiornamento:9 /27 /2017
Pubblicato originariamente:9 /27 /2017Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0 .5 .271 e prima
10 .5 .9 .14 e primaUna vulnerabilità di scrittura della memoria che potrebbe potenzialmente essere
sfruttato quando si apre un file PDF appositamente predisposto, con
un campo Count specifico, che porta alla corruzione della memoria e
un incidente.CVE in attesa 11.0 .5 .271 e prima
10 .5 .9 .14 e primaEsiste una vulnerabilità use-after-free che potrebbe potenzialmente
essere sfruttato quando si apre un file PDF appositamente predisposto
contenente un JPEG non valido2000 immagine, portando a
corruzione della memoria e crash.CVE in attesa Soluzione
Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0 .8 .470 Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Pubblicato originariamente:7 /21 /2017
Ultimo aggiornamento:8 /25 /2017
Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0 .3 .173 e prima
10 .5 .9 .14 e primaUna vulnerabilità di scrittura della memoria fuori limite che potrebbe
potenzialmente essere sfruttato durante l'apertura di un appositamente predisposto
File PDF, che porta alla corruzione della memoria e a un arresto anomalo.CVE-2017 -2796 11.0 .3 .173 e prima
10 .5 .9 .14 e primaUna vulnerabilità di heap overflow che potrebbe potenzialmente essere potentially
sfruttato quando si apre un'immagine PCX appositamente predisposta
file, con conseguente danneggiamento della memoria e arresto anomalo.CVE-2017 -7950 Soluzione
Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0 .8 .470 Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui 10 Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro 13 . Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Pubblicato originariamente:2 /3 /2017
Ultimo aggiornamento:8 /25 /2017
Aggiornare
Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.
Versioni interessate Vulnerabilità CVE 11.0 .3 .134 e prima
10 .5 .9 .9 e primaUn file PDF appositamente predisposto può potenzialmente causare
corruzione della memoria che porta a un arresto anomalo.CVE-2016 -8709
CVE-2016 -871311.0 .3 .134 e prima
10 .5 .9 .9 e primaUna potenziale vulnerabilità all'esecuzione di codice in modalità remota nel
Funzionalità di analisi PDF di Nitro Pro.CVE-2016 -8711 Soluzione
Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.
Versione aggiornata Disponibilità 11.0 .8 .470 Aggiorna all'ultima versione di Nitro Pro 11 disponibile qui 10.5 .9 .14 + Aggiorna all'ultima versione di Nitro Pro 13 disponibile qui Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Vulnerabilità di sicurezza di Nitro e politica sui bug bounty
Politica
Nitro è orgoglioso di aver richiesto pochi aggiornamenti storici del prodotto per le vulnerabilità della sicurezza. Mantenere le informazioni degli utenti al sicuro è una priorità assoluta e un valore aziendale fondamentale per noi di Nitro. Accogliamo con favore il contributo di ricercatori esterni sulla sicurezza e non vediamo l'ora di premiarli per il loro inestimabile contributo alla sicurezza di tutti gli utenti Nitro.
Premi
Nitro fornisce ricompense per i rapporti di vulnerabilità accettati a sua discrezione. La nostra ricompensa minima è di $25 Buono regalo Amazon USD. Gli importi dei premi possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tieni presente che questo non è un concorso o una competizione. Ci riserviamo il diritto di determinare l'importo o anche se debba essere concesso un premio.
Applicazioni in ambito
Le applicazioni Nitro Pro, Nitro Sign e Nitro Admin sono idonee per il programma bounty. Inoltre, sono idonee anche tutte le applicazioni della piattaforma partner basata su cloud (ad es. Nitro File Actions). Potremmo comunque premiare qualsiasi cosa con un impatto significativo su tutta la nostra posizione di sicurezza, quindi ti invitiamo a segnalare tali vulnerabilità tramite questo programma.
Segnalazione e idoneità sulla vulnerabilità della sicurezza
Tutte le vulnerabilità di sicurezza di Nitro devono essere segnalate via e-mail al Nitro Security Team all'indirizzo security@gonitro.com . Per promuovere la scoperta e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:
- Condividi con noi il problema di sicurezza in dettaglio, incluso il nome dell'applicazione, la versione/build interessata, i passaggi concisi per riprodurre la vulnerabilità facilmente comprensibili, le informazioni sull'impatto effettivo e potenziale della vulnerabilità e i dettagli su come potrebbe essere sfruttato;
- Includere un file di prova;
- Si prega di essere rispettosi delle nostre applicazioni esistenti. L'invio di moduli di spam tramite scanner di vulnerabilità automatizzati non comporterà alcuna ricompensa poiché questi sono esplicitamente fuori portata;
- Dacci un tempo ragionevole per rispondere al problema prima di rendere pubbliche le informazioni al riguardo;
- Non accedere o modificare i nostri dati oi dati dei nostri utenti, senza l'esplicito consenso del titolare. Interagisci solo con i tuoi account o account di prova per scopi di ricerca sulla sicurezza;
- Contattaci immediatamente se incontri inavvertitamente i dati dell'utente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati ed eliminare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Nitro;
- Agire in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi (inclusa la negazione del servizio); e
- In caso contrario, rispettare tutte le leggi applicabili.
Ricompensiamo solo il primo reporter di una vulnerabilità. La divulgazione pubblica della vulnerabilità prima della risoluzione può annullare una ricompensa in sospeso. Ci riserviamo il diritto di squalificare le persone dal programma per comportamenti irrispettosi o distruttivi.
Non negozieremo in risposta a coercizione o minacce (ad esempio, non negozieremo l'importo del pagamento sotto la minaccia di trattenere la vulnerabilità o la minaccia di divulgare la vulnerabilità o qualsiasi dato esposto al pubblico).
Processo di vulnerabilità della sicurezza:
(1 ) Nitro riconoscerà e valuterà qualsiasi vulnerabilità segnalata secondo le istruzioni di cui sopra, in genere entro7 giorni.
(2 ) Quando viene confermata una vulnerabilità, Nitro condurrà un'analisi dei rischi utilizzando il Common Vulnerability Scoring System (CVSS v3 ) e determinare la risposta più appropriata per i clienti Nitro.
- Vulnerabilità critiche di sicurezza: problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità elevati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro risolverà le vulnerabilità critiche della sicurezza con un aggiornamento del prodotto alla versione attuale e precedente di Nitro Pro e a tutti i servizi cloud, in base agli aggiornamenti del prodotto e alla politica di tramonto .
- Vulnerabilità di sicurezza non critiche: problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità da bassi a moderati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro, a sua discrezione, risolverà le vulnerabilità di sicurezza non critiche con un aggiornamento del prodotto solo alla versione corrente di Nitro Pro e tutti i servizi cloud in base agli aggiornamenti del prodotto e alla politica di sospensione .
(3 ) Nitro progetterà, implementerà e testerà una correzione per tutte le vulnerabilità critiche di sicurezza e fornirà un aggiornamento del prodotto ai clienti, in genere entro90 giorni.
(4 ) Nitro divulgherà pubblicamente tutte le vulnerabilità critiche per la sicurezza, le versioni interessate e i dettagli rilevanti degli aggiornamenti del prodotto che risolvono i problemi, in questa pagina degli aggiornamenti della sicurezza di Nitro. Nitro non riconosce pubblicamente i singoli ricercatori di sicurezza per i loro contributi.
Vulnerabilità di sicurezza fuori ambito
I seguenti problemi esulano dall'ambito di questa politica e del programma a premi:
- Attacchi che richiedono l'accesso fisico al dispositivo di un utente.
- Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
- Best practice mancanti (richiediamo prove di una vulnerabilità di sicurezza).
- Utilizzo di una libreria nota vulnerabile (senza prove di sfruttabilità).
- Ingegneria sociale di dipendenti o appaltatori Nitro.
- Rapporti di cifrari SSL/TLS non sicuri (a meno che tu non disponga di una prova di concetto funzionante e non solo di un rapporto da uno scanner).
- Vulnerabilità di spoofing del contenuto e iniezione di puro testo (dove è possibile inserire solo testo o un'immagine in una pagina). Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può inserire immagini o rich text (HTML), ma non è idoneo per una taglia.
- Servizi Nitro a meno che tu non sia in grado di raggiungere IP privati o server Nitro.
Conseguenze del rispetto di questa politica
Non perseguiremo azioni civili né avvieremo un reclamo alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte coerenti con questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività non sono coerenti con determinate restrizioni nella nostra politica di utilizzo accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza ai sensi di questa politica. Non presenteremo un reclamo DMCA contro di te per eludere le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni in oggetto.
Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato la politica sulla vulnerabilità della sicurezza e sui bug bounty di Nitro, Nitro adotterà misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.
Si prega di inviare una segnalazione prima di intraprendere una condotta che potrebbe essere incoerente o non trattata da questa politica.
La stampa fine
Sei responsabile del pagamento di eventuali tasse associate ai premi. Possiamo modificare i termini di questo programma o terminare questo programma in qualsiasi momento. Non applicheremo retroattivamente le modifiche apportate a questi termini del programma. Le segnalazioni di persone a cui è vietato per legge pagare non sono idonee per i premi. I dipendenti Nitro e i loro familiari non hanno diritto ad alcun premio.
Al fine di incoraggiare l'adozione di programmi di bug bounty e promuovere le migliori pratiche di sicurezza uniformi in tutto il settore, Nitro non si riserva alcun diritto in questa politica di bug bounty e quindi sei libero di copiarla e modificarla per i tuoi scopi.
Per ulteriori informazioni, contattare il Nitro Security Team all'indirizzo security@gonitro.com
-
Aggiornamento sugli incidenti di sicurezza
A settembre30 ,2020 , Nitro è venuta a conoscenza di un incidente di sicurezza isolato che ha comportato un accesso limitato ai database Nitro da parte di una terza parte non autorizzata.
Dopo aver appreso di questo incidente, Nitro ha preso provvedimenti immediati per garantire che l'ambiente Nitro fosse sicuro e ha avviato un'indagine con il supporto dei principali esperti di sicurezza informatica e forense. L'indagine è ora completa e Nitro può fornire ulteriori dettagli:
- L'incidente ha comportato l'accesso a specifici database Nitro, che supportano determinati servizi online e sono stati utilizzati principalmente per l'archiviazione di informazioni relative ai prodotti online gratuiti di Nitro.
- Il servizio di conversione online gratuito di Nitro non richiede agli utenti di creare un account Nitro o di diventare clienti Nitro. Gli utenti devono semplicemente fornire un indirizzo e-mail a cui vengono consegnati i file convertiti.
- Non c'è stato alcun impatto su Nitro Pro o Nitro Analytics.
- I dati utente esposti includevano indirizzi e-mail degli utenti, nomi completi, password con hash e salt altamente sicure, nonché metadati dei documenti in relazione ai servizi online Nitro. Una parte molto piccola delle informazioni includeva nomi di società, titoli e indirizzi IP.
- Le password non sono state interessate dagli utenti che accedono ai nostri servizi cloud tramite Single Sign-On (SSO).
- L'indagine ha inoltre identificato un'attività limitata da parte di terzi non autorizzati in una posizione di servizi cloud legacy, con un impatto inferiore a0 .0073 % di dati archiviati in questa posizione. L'attività suggerisce che la terza parte non autorizzata fosse specificamente focalizzata sull'ottenimento di dati relativi alla criptovaluta.
Dopo aver appreso di questo incidente, Nitro ha effettuato una reimpostazione forzata della password per tutti gli utenti per proteggere ulteriormente gli account dei clienti. Oltre a ciò, le linee guida generali per mantenere una buona igiene informatica includono:
- Modificare regolarmente le password degli account online, utilizzare una password separata per l'online banking e utilizzare un gestore di password per ricordare più password.
- Non inviare mai tramite e-mail le password per gli account online e confermare se gli account online sono sicuri visitando https://haveibeenpwned.com/ .
- Abilitare l'autenticazione a più fattori per gli account online ove possibile e garantire l'installazione di un software antivirus aggiornato su qualsiasi dispositivo utilizzato per accedere agli account online.
Dall'incidente, il team di sicurezza IT di Nitro ha lavorato a stretto contatto con esperti esterni di sicurezza informatica per rafforzare la sicurezza di tutti i sistemi, inclusi servizi avanzati di registrazione, rilevamento e avviso in tutte le regioni, nonché un maggiore monitoraggio dei dati e la rivalutazione di tutti i protocolli . L'ambiente IT rimane sicuro e Nitro non ha rilevato alcuna attività dannosa dall'incidente.
Nitro prende sul serio la sicurezza e la protezione dei dati dei nostri clienti e siamo qui per supportare i nostri clienti in qualsiasi modo che possa essere utile. Invitiamo chiunque abbia domande a contattare incident@gonitro.com .
Aggiornamenti di sicurezza