Originally published: 11/17/2017
Last updated: 11/17/2017
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.
| Beïnvloede versies | Kwetsbaarheid | CVE |
|---|---|---|
| 11.0.6 and prior 10.5.9.14 and prior |
Er bestaat een kwetsbaarheid in de functie 'Doc.SaveAs' die mogelijk kan worden uitgebuit door een speciaal ontwikkeld PDF-bestand en die mogelijk leidt tot een opdracht om een bestand op te slaan buiten het beoogde pad. |
CVE-2017-7442 |
| 11.0.6 and prior 10.5.9.14 and prior |
A vulnerability exists in the Doc.SaveAs function which could be exploited by a specially crafted PDF file, potentially leading to a URL launch taking place in conjunction with a Security Alert. |
CVE-2017-7442 |
Nitro adviseert Personal-gebruikers om hun software bij te werken naar de nieuwste versie die hieronder wordt weergegeven. Business-klanten kunnen contact met hun accountmanager van Nitro opnemen voor toegang tot eventuele beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een eigen klantsuccesmanager ontvangen uitgebreide informatie over bijgewerkte versies met oplossingen voor de problemen.
| Bijgewerkte versie | Beschikbaarheid |
|---|---|
| 11.0.7.425 | Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
| 10 | Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
For more information, please contact the Nitro Security Team at security@gonitro.com
Oorspronkelijk gepubliceerd op: 27-9-2017
Laatst bijgewerkt: 27-9-2017
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.
| Beïnvloede versies | Kwetsbaarheid | CVE |
|---|---|---|
| 11.0.5.271 en ouder 10.5.9.14 en ouder |
Een kwetsbaarheid in het schrijven naar het geheugen die mogelijk kan worden uitgebuit wanneer een speciaal samengesteld PDF-bestand met een specifiek telveld wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt. |
CVE in afwachting |
| 11.0.5.271 en ouder 10.5.9.14 en ouder |
Er is sprake van een kwetsbaarheid bij het gebruik na de gratis versie. Deze kan mogelijk worden uitgebuit wanneer een speciaal samengesteld PDF-bestand met een vervormde JPEG2000-afbeelding wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt. |
CVE in afwachting |
Nitro adviseert Personal-gebruikers om hun software bij te werken naar de nieuwste versie die hieronder wordt weergegeven. Business-klanten kunnen contact met hun accountmanager van Nitro opnemen voor toegang tot eventuele beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een eigen klantsuccesmanager ontvangen uitgebreide informatie over bijgewerkte versies met oplossingen voor de problemen.
| Bijgewerkte versie | Beschikbaarheid |
|---|---|
| 11.0.6.326 | Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
| 10 | Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
For more information, please contact the Nitro Security Team at security@gonitro.com
Oorspronkelijk gepubliceerd op: 21-7-2017
Laatst bijgewerkt: 25-8-2017
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.
| Beïnvloede versies | Kwetsbaarheid | CVE |
|---|---|---|
| 11.0.3.173 en ouder 10.5.9.14 en ouder |
Een kwetsbaarheid in het schrijven naar het geheugen, waarbij de limieten worden overschreden en die mogelijk kan worden uitgebuit wanneer een speciaal samengesteld PDF-bestand wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt. |
CVE-2017-2796 |
| 11.0.3.173 en ouder 10.5.9.14 en ouder |
Een 'heap overflow'-kwetsbaarheid die mogelijk kan worden uitgebuit wanneer een speciaal samengesteld PCX-afbeeldingsbestand wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt. |
CVE-2017-7950 |
Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.
| Bijgewerkte versie | Beschikbaarheid |
|---|---|
| 11.0.5.271+ | Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
| 10 | Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
For more information, please contact the Nitro Security Team at security@gonitro.com
Oorspronkelijk gepubliceerd op: 3-2-2017
Laatst bijgewerkt: 25-8-2017
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.
| Beïnvloede versies | Kwetsbaarheid | CVE |
|---|---|---|
| 11.0.3.134 en ouder 10.5.9.9 en ouder |
Een speciaal samengesteld PDF-bestand kan mogelijk zorgen dat het geheugen corrupt raakt en een crash veroorzaken. |
CVE-2016-8709 CVE-2016-8713 |
| 11.0.3.134 en ouder 10.5.9.9 en ouder |
Een potentiële kwetsbaarheid met het uitvoeren van code op afstand in de PDF-parseringsfunctie in Nitro Pro. |
CVE-2016-8711 |
Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.
| Bijgewerkte versie | Beschikbaarheid |
|---|---|
| 11.0.3.173+ | Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier |
| 10.5.9.14+ | Werk de software bij naar de nieuwste versie van Nitro Pro 10. U vindt deze hier |
For more information, please contact the Nitro Security Team at security@gonitro.com
De inzet van Nitro voor de veiligheid van de producten en diensten vormt een belangrijke waarde. Nitro is er trots op dat er dankzij proactieve beveiligingsontwerpen en -tests in het verleden maar weinig beveiligingsupdates nodig waren. De manier waarop Nitro met beveiligingskwetsbaarheden omgaat, staat in deze filosofie centraal. Dat geldt ook voor meldingen die afkomstig zijn van externe partijen.
Een kwetsbaarheid melden
Alle kwetsbaarheden in de beveiliging van Nitro moeten via e-mail worden gemeld aan het Security Team van Nitro (security@gonitro.com). Beschrijf de getroffen versie/build en beknopte stappen die kunnen worden gereproduceerd en die gemakkelijk te begrijpen zijn. Stuur ook een proof of concept-bestand mee. Nitro waardeert gemelde problemen en kwetsbaarheden, maar biedt geen beloningen of erkenningen voor ingediende problemen of beveiligingsproblemen.
Proces van Nitro voor kwetsbaarheden in de beveiliging:
(1) Nitro bevestigt en controleert elke kwetsbaarheid die volgens de bovenstaande instructies wordt gemeld meestal binnen 7 dagen.
(2) Als een kwetsbaarheid is bevestigd, zal Nitro een risicoanalyse uitvoeren aan de hand van het 'Common Vulnerability Scoring System' (CVSS v3) en de beste reactie voor klanten van Nitro vaststellen.
Kritieke beveiligingsupdates: Problemen in de software die, wanneer ze niet worden opgelost, een hoog risico en een hoge kans op onbevoegde toegang, aanpassing of vernietiging van informatie op de computer van een gebruiker of op verbonden computers met zich meebrengen. Nitro zal kritieke beveiligingsupdates oplossen door een kritieke update voor de huidige en vorige softwareversie of een grote upgrade voor de huidige en/of vorige versie uit te brengen.
Niet-kritieke beveiligingsupdates: Problemen in de software die, wanneer ze niet worden opgelost, een laag tot middelhoog risico en een lage tot middelhoge kans op onbevoegde toegang, aanpassing of vernietiging van informatie op de computer van een gebruiker of op verbonden computers met zich meebrengen. Nitro zal niet-kritieke beveiligingsupdates uitbrengen door een kleine update of een grote upgrade voor de huidige versie uit te brengen.
(3) Nitro zal beveiligingsupdates ontwerpen, implementeren en testen en ze beschikbaar stellen aan klanten met ondersteunde softwareversies. Meestal gebeurt dit binnen 90 dagen.
(4) Nitro zal alle kritieke kwetsbaarheden in de beveiliging, getroffen versies en relevante details over eventuele bijgewerkte versies met een oplossing voor het probleem openbaar maken op de pagina 'Beveiligingsupdates'.
For more information, please contact the Nitro Security Team at security@gonitro.com