Aggiornamenti di sicurezza
    • Ultimo aggiornamento:9 /17 /2020
      Pubblicato originariamente:9 /1 /2020

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessate Vulnerabilità CVE Stato Soluzione
      Nitro Pro v13 .19 e prima Overflow intero di analisi del flusso di oggetti
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con una tabella di riferimenti incrociati che può portare a un errore di superamento dei limiti che causa il danneggiamento della memoria.
      CVE-2020 -6113 Risoluto Aggiorna all'ultima versione di
      Nitro Pro v13 .22 e prima app.launchURL Iniezione di comandi JavaScript
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandi.
      CVE-2020 -25290 Risoluto Aggiorna all'ultima versione di
    • Ultimo aggiornamento:9 /1 /2020
      Pubblicato originariamente:9 /1 /2020

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessate Vulnerabilità CVE Stato Soluzione
      Nitro Pro v13 .22 .0 .414 e prima XRefTable Entry Oggetto mancante – Usa dopo gratis
      Esiste una vulnerabilità quando si apre un documento PDF malformato appositamente predisposto che può portare a una condizione di utilizzo dopo l'assenza.
      CVE-2020 -6115 Risoluto Aggiorna all'ultima versione di
      Nitro Pro v13 .22 .0 .414 e prima Rendering di ColorSpace indicizzato – Buffer Overflow
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore indicizzato che può portare a un overflow del buffer che causa il danneggiamento della memoria.
      CVE-2020 -6116 Risoluto Aggiorna all'ultima versione di
      Nitro Pro v13 .22 .0 .414 e prima Rendering ColorSpace basato su ICC – Buffer Overflow
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto con uno spazio colore basato su ICC che può portare a un overflow del buffer che causa il danneggiamento della memoria.
      CVE-2020 -6146 Risoluto Aggiorna all'ultima versione di
      Nitro Pro v13 .22 .0 .414 e prima app.launchURL Iniezione di comandi JavaScript
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto contenente JavaScript che può portare all'iniezione di comandi
      Nessuno Risoluto Aggiorna all'ultima versione di
    • Ultimo aggiornamento:8 /2 /2020
      Pubblicato originariamente:8 /2 /2020

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessate Vulnerabilità CVE Stato Soluzione
      Nitro Pro v12 .16 .3 .574 e prima

      non è influenzato

      Firma digitale "attacchi ombra"
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto e firmato digitalmente che può causare la visualizzazione di testo precedentemente nascosto quando il documento viene modificato dopo la firma.
      Per attivare questa vulnerabilità, il target deve aprire un documento dannoso preparato in anticipo da un firmatario attendibile.
      Nessuno Risoluto Aggiorna all'ultima versione di
    • Ultimo aggiornamento:5 /8 /2020
      Pubblicato originariamente:5 /8 /2020

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessate Vulnerabilità CVE Stato Soluzione
      13.9 .1 .155 e prima Gestione degli errori XML JavaScript – Accesso a puntatore non inizializzato
      Esiste una vulnerabilità quando si apre un documento PDF appositamente predisposto che può causare l'accesso alla memoria non inizializzato con conseguente potenziale divulgazione di informazioni. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6093 Risoluto Aggiorna all'ultima versione di
      13.9 .1 .155 e prima Pagine nidificate PDF – Usa dopo gratis
      Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6074 Risoluto Aggiorna all'ultima versione di
      13.13 .2 .242 e prima Oggetto modello PDF – Integer Overflow o Wraparound
      Esiste una vulnerabilità quando si apre un documento PDF dannoso appositamente predisposto che può portare a un accesso in scrittura fuori dai limiti con il potenziale di danneggiare la memoria. Per attivare questa vulnerabilità, il bersaglio deve aprire un file dannoso.
      CVE-2020 -6092 Risoluto Aggiorna all'ultima versione di
    • Ultimo aggiornamento:3 /9 /2020
      Pubblicato originariamente:3 /9 /2020

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      13.9 e primaHeap corruzione npdf.dlll
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un danneggiamento dell'heap
      vulnerabilità con la possibilità di esporre i contenuti della memoria.
      CVE-2020 -10222
      13.9 e primaCorruzione dell'heap JBIG2 DecodeStream
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un danneggiamento dell'heap
      vulnerabilità con la possibilità di esporre i contenuti della memoria.
      CVE-2020 -10223

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.13 .2 .242Aggiorna all'ultima versione di Nitro Pro13 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Ultimo aggiornamento:1 /9 /2020
      Pubblicato originariamente:10 /31 /2019

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      13.6 e primaJPEG corruzione heap2000 ssizDepth
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5045
      13.6 e primaJPEG corruzione heap2000 yTsiz
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5046
      13.6 e primaUsa dopo CharProcs gratuito
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a use-after-free
      condizione e l'applicazione si blocca.
      CVE-2019 -5047
      13.6 e primaCorruzione dell'heap Spazio colore basato su ICC
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5048
      13.6 e primaPagina corruzione heap Kids
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare alla corruzione dell'heap
      e l'applicazione si blocca. Codice remoto arbitrario
      l'esecuzione non è stata dimostrata ma potrebbe essere possibile.
      CVE-2019 -5050
      13.8 e primaUtilizzare dopo la lunghezza dello streaming gratuito
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a use-after-free
      condizione e l'applicazione si blocca.
      CVE-2019 -5053

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.9 .1 .155Aggiorna all'ultima versione di Nitro Pro13 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Ultimo aggiornamento:12 /20 /2019
      Pubblicato originariamente:12 /20 /2019

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      12.0 .0 .112 e primaJBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un fuori limite
      leggere la vulnerabilità e l'applicazione si blocca.
      CVE-2019 -19817
      12.0 .0 .112 e primaJBIG2 Vulnerabilità di lettura fuori dai limiti di decodifica
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un fuori limite
      leggere la vulnerabilità e l'applicazione si blocca.
      CVE-2019 -19818
      12.0 .0 .112 e primaJBIG2 Vulnerabilità alla deferenza del puntatore nullo globale
      Esiste una vulnerabilità quando si apre un oggetto appositamente predisposto
      documento PDF dannoso che può portare a un puntatore nullo
      vulnerabilità di deferenza e arresto anomalo dell'applicazione.
      CVE-2019 -19819
      12.17 .0 .584 e primaFile debug.log temporaneo
      In determinate condizioni (ad esempio, una prova scaduta), una temporanea a
      il file "debug.log" può essere creato nel funzionamento di Nitro Pro
      directory. Questo file debug.log può essere manipolato dopo
      l'applicazione viene chiusa normalmente.
      CVE-2019 -19858

      Soluzione

      Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      13.8 .2 .140Aggiorna all'ultima versione di Nitro Pro13 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Ultimo aggiornamento:10 /18 /2019
      Pubblicato originariamente:10 /18 /2019

      Aggiornare

      Nitro sta lavorando attivamente per affrontare diverse potenziali vulnerabilità pubblicate di recente. Dopo essere stati a conoscenza della loro esistenza, abbiamo valutato l'accuratezza delle affermazioni, valutato la gravità e la probabilità di qualsiasi sfruttamento e (in base alla nostra analisi proattiva delle vulnerabilità e alle procedure di gestione esistenti) abbiamo quindi inserito le vulnerabilità nella nostra coda di riparazione.

      Stiamo prendendo sul serio queste vulnerabilità e le affronteremo in un prossimo aggiornamento. Per ulteriori informazioni, è possibile contattare security@gonitro.com.

    • Ultimo aggiornamento:11 /17 /2017
      Pubblicato originariamente:11 /17 /2017

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .6 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità nella funzione Doc.SaveAs che
      potrebbe essere sfruttato da un file PDF appositamente predisposto,
      potenzialmente portando a una scrittura su file che si verifica all'esterno
      del percorso previsto.
      CVE-2017 -7442
      11.0 .6 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità nella funzione Doc.SaveAs che
      potrebbe essere sfruttato da un file PDF appositamente predisposto,
      potenzialmente portando a un lancio di URL che si verifica in
      insieme a un avviso di sicurezza.
      CVE-2017 -7442

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro11 a disposizione 
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro10 . Aggiorna all'ultima versione di Nitro Pro11 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Ultimo aggiornamento:9 /27 /2017
      Pubblicato originariamente:9 /27 /2017

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .5 .271 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di scrittura della memoria che potrebbe potenzialmente essere
      sfruttato quando si apre un file PDF appositamente predisposto, con
      un campo Count specifico, che porta alla corruzione della memoria e
      un incidente. 
      CVE in attesa
      11.0 .5 .271 e prima
      10 .5 .9 .14 e prima
      Esiste una vulnerabilità use-after-free che potrebbe potenzialmente
      essere sfruttato quando si apre un file PDF appositamente predisposto
      contenente un JPEG non valido2000 immagine, portando a
      corruzione della memoria e crash.
      CVE in attesa

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro11 a disposizione 
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro10 . Aggiorna all'ultima versione di Nitro Pro11 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Pubblicato originariamente:7 /21 /2017

      Ultimo aggiornamento:8 /25 /2017

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .3 .173 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di scrittura della memoria fuori limite che potrebbe
      potenzialmente essere sfruttato durante l'apertura di un appositamente predisposto
      File PDF, che porta alla corruzione della memoria e a un arresto anomalo.
      CVE-2017 -2796
      11.0 .3 .173 e prima
      10 .5 .9 .14 e prima
      Una vulnerabilità di heap overflow che potrebbe potenzialmente essere potentially
      sfruttato quando si apre un'immagine PCX appositamente predisposta
      file, con conseguente danneggiamento della memoria e arresto anomalo.
      CVE-2017 -7950

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro11 a disposizione 
      10Nitro non è in grado di correggere questa vulnerabilità in Nitro Pro10 . Aggiorna all'ultima versione di Nitro Pro11 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Pubblicato originariamente:2 /3 /2017

      Ultimo aggiornamento:8 /25 /2017

      Aggiornare

      Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

      Versioni interessateVulnerabilitàCVE
      11.0 .3 .134 e prima
      10 .5 .9 .9 e prima
      Un file PDF appositamente predisposto può potenzialmente causare
      corruzione della memoria che porta a un arresto anomalo.
      CVE-2016 -8709
      CVE-2016 -8713
      11.0 .3 .134 e prima
      10 .5 .9 .9 e prima
      Una potenziale vulnerabilità all'esecuzione di codice in modalità remota nel
      Funzionalità di analisi PDF di Nitro Pro.
      CVE-2016 -8711

      Soluzione

      Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

      Versione aggiornataDisponibilità
      11.0 .8 .470Aggiorna all'ultima versione di Nitro Pro11 a disposizione 
      10.5 .9 .14 +Aggiorna all'ultima versione di Nitro Pro10 a disposizione 

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Vulnerabilità di sicurezza di Nitro e politica sui bug bounty

      Politica

      Nitro è orgoglioso di aver richiesto pochi aggiornamenti storici del prodotto per le vulnerabilità della sicurezza. Mantenere le informazioni degli utenti al sicuro è una priorità assoluta e un valore aziendale fondamentale per noi di Nitro. Accogliamo con favore il contributo di ricercatori esterni sulla sicurezza e non vediamo l'ora di premiarli per il loro inestimabile contributo alla sicurezza di tutti gli utenti Nitro.

      Premi

      Nitro fornisce ricompense per i rapporti di vulnerabilità accettati a sua discrezione. La nostra ricompensa minima è di $25 Buono regalo Amazon USD. Gli importi dei premi possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tieni presente che questo non è un concorso o una competizione. Ci riserviamo il diritto di determinare l'importo o anche se debba essere concesso un premio.

      Applicazioni in ambito

      Le applicazioni Nitro Pro, Nitro Sign e Nitro Admin sono idonee per il programma bounty. Inoltre, sono idonee anche tutte le applicazioni della piattaforma partner basata su cloud (ad es. Nitro File Actions). Potremmo comunque premiare qualsiasi cosa con un impatto significativo su tutta la nostra posizione di sicurezza, quindi ti invitiamo a segnalare tali vulnerabilità tramite questo programma.

      Segnalazione e idoneità sulla vulnerabilità della sicurezza

      Tutte le vulnerabilità di sicurezza di Nitro devono essere segnalate via e-mail al team di sicurezza di Nitro all'indirizzo . Per promuovere la scoperta e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:

      • Condividi con noi il problema di sicurezza in dettaglio, incluso il nome dell'applicazione, la versione/build interessata, i passaggi concisi per riprodurre la vulnerabilità facilmente comprensibili, le informazioni sull'impatto effettivo e potenziale della vulnerabilità e i dettagli su come potrebbe essere sfruttato;
      • Includere un file di prova;
      • Si prega di essere rispettosi delle nostre applicazioni esistenti. L'invio di moduli di spam tramite scanner di vulnerabilità automatizzati non comporterà alcuna ricompensa poiché questi sono esplicitamente fuori portata;
      • Dacci un tempo ragionevole per rispondere al problema prima di rendere pubbliche le informazioni al riguardo;
      • Non accedere o modificare i nostri dati oi dati dei nostri utenti, senza l'esplicito consenso del titolare. Interagisci solo con i tuoi account o account di prova per scopi di ricerca sulla sicurezza;
      • Contattaci immediatamente se incontri inavvertitamente i dati dell'utente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati ed eliminare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Nitro;
      • Agire in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi (inclusa la negazione del servizio); e
      • In caso contrario, rispettare tutte le leggi applicabili.

      Ricompensiamo solo il primo reporter di una vulnerabilità. La divulgazione pubblica della vulnerabilità prima della risoluzione può annullare una ricompensa in sospeso. Ci riserviamo il diritto di squalificare le persone dal programma per comportamenti irrispettosi o distruttivi.

      Non negozieremo in risposta a coercizione o minacce (ad esempio, non negozieremo l'importo del pagamento sotto la minaccia di trattenere la vulnerabilità o la minaccia di divulgare la vulnerabilità o qualsiasi dato esposto al pubblico).

      Processo di vulnerabilità della sicurezza:

      (1 ) Nitro riconoscerà e valuterà qualsiasi vulnerabilità segnalata secondo le istruzioni di cui sopra, in genere entro7 giorni.

      (2 ) Quando viene confermata una vulnerabilità, Nitro condurrà un'analisi dei rischi utilizzando il Common Vulnerability Scoring System (CVSS v3 ) e determinare la risposta più appropriata per i clienti Nitro.

      • Vulnerabilità critiche di sicurezza: Problemi all'interno del software che, se non risolti, comportano un alto rischio e probabilità di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro risolverà le vulnerabilità di sicurezza critiche con un aggiornamento del prodotto alla versione attuale e precedente di Nitro Pro e a tutti i servizi cloud, secondo il .
      • Vulnerabilità di sicurezza non critiche: Problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità da bassi a moderati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro, a sua discrezione, risolverà le vulnerabilità di sicurezza non critiche con un aggiornamento del prodotto solo alla versione corrente di Nitro Pro e tutti i servizi cloud in base al .

      (3 ) Nitro progetterà, implementerà e testerà una correzione per tutte le vulnerabilità critiche di sicurezza e fornirà un aggiornamento del prodotto ai clienti, in genere entro90 giorni.

      (4 ) Nitro divulgherà pubblicamente tutte le vulnerabilità critiche per la sicurezza, le versioni interessate e i dettagli rilevanti degli aggiornamenti del prodotto che risolvono i problemi, in questa pagina degli aggiornamenti della sicurezza di Nitro. Nitro non riconosce pubblicamente i singoli ricercatori di sicurezza per i loro contributi.

      Vulnerabilità di sicurezza fuori ambito

      I seguenti problemi esulano dall'ambito di questa politica e del programma a premi:

      • Attacchi che richiedono l'accesso fisico al dispositivo di un utente.
      • Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
      • Best practice mancanti (richiediamo prove di una vulnerabilità di sicurezza).
      • Utilizzo di una libreria nota vulnerabile (senza prove di sfruttabilità).
      • Ingegneria sociale di dipendenti o appaltatori Nitro.
      • Rapporti di cifrari SSL/TLS non sicuri (a meno che tu non disponga di una prova di concetto funzionante e non solo di un rapporto da uno scanner).
      • Vulnerabilità di spoofing del contenuto e iniezione di puro testo (dove è possibile inserire solo testo o un'immagine in una pagina). Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può inserire immagini o rich text (HTML), ma non è idoneo per una taglia.
      • Servizi Nitro a meno che tu non sia in grado di raggiungere IP privati o server Nitro.

      Conseguenze del rispetto di questa politica

      Non perseguiremo azioni civili né avvieremo un reclamo alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte coerenti con questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività non sono coerenti con determinate restrizioni nella nostra politica di utilizzo accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza ai sensi di questa politica. Non presenteremo un reclamo DMCA contro di te per eludere le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni in oggetto.

      Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato la politica sulla vulnerabilità della sicurezza e sui bug bounty di Nitro, Nitro adotterà misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

      Si prega di inviare una segnalazione prima di intraprendere una condotta che potrebbe essere incoerente o non trattata da questa politica.

      La stampa fine

      Sei responsabile del pagamento di eventuali tasse associate ai premi. Possiamo modificare i termini di questo programma o terminare questo programma in qualsiasi momento. Non applicheremo retroattivamente le modifiche apportate a questi termini del programma. Le segnalazioni di persone a cui è vietato per legge pagare non sono idonee per i premi. I dipendenti Nitro e i loro familiari non hanno diritto ad alcun premio.

      Al fine di incoraggiare l'adozione di programmi di bug bounty e promuovere le migliori pratiche di sicurezza uniformi in tutto il settore, Nitro non si riserva alcun diritto in questa politica di bug bounty e quindi sei libero di copiarla e modificarla per i tuoi scopi.

      Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

    • Aggiornamento sugli incidenti di sicurezza

      A settembre30 ,2020 , Nitro è venuta a conoscenza di un incidente di sicurezza isolato che ha comportato un accesso limitato ai database Nitro da parte di una terza parte non autorizzata.

      Dopo aver appreso di questo incidente, Nitro ha preso provvedimenti immediati per garantire che l'ambiente Nitro fosse sicuro e ha avviato un'indagine con il supporto dei principali esperti di sicurezza informatica e forense. L'indagine è ora completa e Nitro può fornire ulteriori dettagli:

      • L'incidente ha comportato l'accesso a specifici database Nitro, che supportano determinati servizi online e sono stati utilizzati principalmente per l'archiviazione di informazioni relative ai prodotti online gratuiti di Nitro.
      • Il servizio di conversione online gratuito di Nitro non richiede agli utenti di creare un account Nitro o di diventare clienti Nitro. Gli utenti devono semplicemente fornire un indirizzo e-mail a cui vengono consegnati i file convertiti.
      • Non c'è stato alcun impatto su Nitro Pro o Nitro Analytics.
      • I dati utente esposti includevano indirizzi e-mail degli utenti, nomi completi, password con hash e salt altamente sicure, nonché metadati dei documenti in relazione ai servizi online Nitro. Una parte molto piccola delle informazioni includeva nomi di società, titoli e indirizzi IP.
      • Le password non sono state interessate dagli utenti che accedono ai nostri servizi cloud tramite Single Sign-On (SSO).
      • L'indagine ha inoltre identificato un'attività limitata da parte di terzi non autorizzati in una posizione di servizi cloud legacy, con un impatto inferiore a0 .0073 % di dati archiviati in questa posizione. L'attività suggerisce che la terza parte non autorizzata fosse specificamente focalizzata sull'ottenimento di dati relativi alla criptovaluta.

      Dopo aver appreso di questo incidente, Nitro ha effettuato una reimpostazione forzata della password per tutti gli utenti per proteggere ulteriormente gli account dei clienti. Oltre a ciò, le linee guida generali per mantenere una buona igiene informatica includono:

      • Modificare regolarmente le password degli account online, utilizzare una password separata per l'online banking e utilizzare un gestore di password per ricordare più password.
      • Non inviare mai tramite e-mail le password per gli account online e confermare se gli account online sono sicuri visitando .
      • Abilitare l'autenticazione a più fattori per gli account online ove possibile e garantire l'installazione di un software antivirus aggiornato su qualsiasi dispositivo utilizzato per accedere agli account online.

      Dall'incidente, il team di sicurezza IT di Nitro ha lavorato a stretto contatto con esperti esterni di sicurezza informatica per rafforzare la sicurezza di tutti i sistemi, inclusi servizi avanzati di registrazione, rilevamento e avviso in tutte le regioni, nonché un maggiore monitoraggio dei dati e la rivalutazione di tutti i protocolli . L'ambiente IT rimane sicuro e Nitro non ha rilevato alcuna attività dannosa dall'incidente.

      Nitro prende sul serio la sicurezza e la protezione dei dati dei nostri clienti e siamo qui per supportare i nostri clienti in qualsiasi modo che possa essere utile. Incoraggiamo chiunque abbia domande a contattare.

Knowledge Base
Massimizza il tuo investimento con articoli informativi su specifiche funzionalità, prodotti Nitro e altro ancora.
Forum della comunità
Pubblica domande, condividi feedback e interagisci con altri clienti ed esperti Nitro.
Richiesta di assistenza
05 luglio 2021 09:06 PM
Se disponi di Nitro VIP Access o Premium Support, puoi aprire un ticket di supporto e contattarci direttamente.
Libreria contenuti

Trasformazione completa dei documenti digitali

Una nuova ricerca condotta da GigaOm paragona e valuta le funzionalità e le capacità delle soluzioni leader nel settore della firma elettronica e dei PDF.
Portions of this page translated by Google.