Menu
Neem contact op met sales »

Security Updates

Originally published: 11/17/2017
Last updated: 11/17/2017

Bijwerken

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.

Beïnvloede versies Kwetsbaarheid CVE
11.0.6 and prior
10.5.9.14 and prior
Er bestaat een kwetsbaarheid in de functie 'Doc.SaveAs' die
mogelijk kan worden uitgebuit door een speciaal ontwikkeld PDF-bestand
en die mogelijk leidt tot een opdracht om een bestand op te slaan
buiten het beoogde pad.
CVE-2017-7442
11.0.6 and prior
10.5.9.14 and prior
A vulnerability exists in the Doc.SaveAs function which
could be exploited by a specially crafted PDF file,
potentially leading to a URL launch taking place in
conjunction with a Security Alert.
CVE-2017-7442

Oplossing

Nitro adviseert Personal-gebruikers om hun software bij te werken naar de nieuwste versie die hieronder wordt weergegeven. Business-klanten kunnen contact met hun accountmanager van Nitro opnemen voor toegang tot eventuele beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een eigen klantsuccesmanager ontvangen uitgebreide informatie over bijgewerkte versies met oplossingen voor de problemen.

Bijgewerkte versie Beschikbaarheid
11.0.7.425 Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier
10 Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier

For more information, please contact the Nitro Security Team at security@gonitro.com

Oorspronkelijk gepubliceerd op: 27-9-2017

Laatst bijgewerkt: 27-9-2017

Bijwerken

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.

Beïnvloede versies Kwetsbaarheid CVE
11.0.5.271 en ouder
10.5.9.14 en ouder
Een kwetsbaarheid in het schrijven naar het geheugen die mogelijk kan worden
uitgebuit wanneer een speciaal samengesteld PDF-bestand met
een specifiek telveld wordt geopend, waardoor het geheugen corrupt raakt en
een crash optreedt.
CVE in afwachting
11.0.5.271 en ouder
10.5.9.14 en ouder
Er is sprake van een kwetsbaarheid bij het gebruik na de gratis versie. Deze kan mogelijk
worden uitgebuit wanneer een speciaal samengesteld PDF-bestand
met een vervormde JPEG2000-afbeelding wordt geopend,
waardoor het geheugen corrupt raakt en een crash optreedt.
CVE in afwachting

Oplossing

Nitro adviseert Personal-gebruikers om hun software bij te werken naar de nieuwste versie die hieronder wordt weergegeven. Business-klanten kunnen contact met hun accountmanager van Nitro opnemen voor toegang tot eventuele beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een eigen klantsuccesmanager ontvangen uitgebreide informatie over bijgewerkte versies met oplossingen voor de problemen.

Bijgewerkte versie Beschikbaarheid
11.0.6.326 Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier
10 Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier

For more information, please contact the Nitro Security Team at security@gonitro.com

Oorspronkelijk gepubliceerd op: 21-7-2017

Laatst bijgewerkt: 25-8-2017

Bijwerken

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.

Beïnvloede versies Kwetsbaarheid CVE
11.0.3.173 en ouder
10.5.9.14 en ouder
Een kwetsbaarheid in het schrijven naar het geheugen, waarbij de limieten worden overschreden en die mogelijk kan
worden uitgebuit wanneer een speciaal samengesteld PDF-bestand
wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt.
CVE-2017-2796
11.0.3.173 en ouder
10.5.9.14 en ouder
Een 'heap overflow'-kwetsbaarheid die mogelijk kan worden
uitgebuit wanneer een speciaal samengesteld PCX-afbeeldingsbestand
wordt geopend, waardoor het geheugen corrupt raakt en een crash optreedt.
CVE-2017-7950

Oplossing

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Bijgewerkte versie Beschikbaarheid
11.0.5.271+ Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier
10 Nitro kan deze kwetsbaarheid niet oplossen in Nitro Pro 10. Upgrade naar de nieuwste versie van Nitro Pro 11. U vindt deze hier

For more information, please contact the Nitro Security Team at security@gonitro.com

Oorspronkelijk gepubliceerd op: 3-2-2017

Laatst bijgewerkt: 25-8-2017

Bijwerken

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht met oplossingen voor mogelijke beveiligingsproblemen.

Beïnvloede versies Kwetsbaarheid CVE
11.0.3.134 en ouder
10.5.9.9 en ouder
Een speciaal samengesteld PDF-bestand kan mogelijk zorgen
dat het geheugen corrupt raakt en een crash veroorzaken.
CVE-2016-8709
CVE-2016-8713
11.0.3.134 en ouder
10.5.9.9 en ouder
Een potentiële kwetsbaarheid met het uitvoeren van code op afstand in de
PDF-parseringsfunctie in Nitro Pro.
CVE-2016-8711

Oplossing

Nitro recommends Personal (individual) users update their software to the latest version, which includes fixes for these vulnerabilities. Business customers may contact their Nitro Account Manager for access to the latest version and deployment instructions. Enterprise customers with a dedicated Customer Success Manager will receive details of updated releases that address the issues.

Bijgewerkte versie Beschikbaarheid
11.0.3.173+ Werk de software bij naar de nieuwste versie van Nitro Pro 11. U vindt deze hier
10.5.9.14+ Werk de software bij naar de nieuwste versie van Nitro Pro 10. U vindt deze hier

For more information, please contact the Nitro Security Team at security@gonitro.com

Beleid en proces van Nitro voor kwetsbaarheden in de beveiliging

De inzet van Nitro voor de veiligheid van de producten en diensten vormt een belangrijke waarde. Nitro is er trots op dat er dankzij proactieve beveiligingsontwerpen en -tests in het verleden maar weinig beveiligingsupdates nodig waren. De manier waarop Nitro met beveiligingskwetsbaarheden omgaat, staat in deze filosofie centraal. Dat geldt ook voor meldingen die afkomstig zijn van externe partijen.

Een kwetsbaarheid melden

Alle kwetsbaarheden in de beveiliging van Nitro moeten via e-mail worden gemeld aan het Security Team van Nitro (security@gonitro.com). Beschrijf de getroffen versie/build en beknopte stappen die kunnen worden gereproduceerd en die gemakkelijk te begrijpen zijn. Stuur ook een proof of concept-bestand mee. Nitro waardeert gemelde problemen en kwetsbaarheden, maar biedt geen beloningen of erkenningen voor ingediende problemen of beveiligingsproblemen.

Proces van Nitro voor kwetsbaarheden in de beveiliging:

(1) Nitro bevestigt en controleert elke kwetsbaarheid die volgens de bovenstaande instructies wordt gemeld meestal binnen 7 dagen.

(2) Als een kwetsbaarheid is bevestigd, zal Nitro een risicoanalyse uitvoeren aan de hand van het 'Common Vulnerability Scoring System' (CVSS v3) en de beste reactie voor klanten van Nitro vaststellen.

  • Kritieke beveiligingsupdates: Problemen in de software die, wanneer ze niet worden opgelost, een hoog risico en een hoge kans op onbevoegde toegang, aanpassing of vernietiging van informatie op de computer van een gebruiker of op verbonden computers met zich meebrengen. Nitro zal kritieke beveiligingsupdates oplossen door een kritieke update voor de huidige en vorige softwareversie of een grote upgrade voor de huidige en/of vorige versie uit te brengen.

  • Niet-kritieke beveiligingsupdates: Problemen in de software die, wanneer ze niet worden opgelost, een laag tot middelhoog risico en een lage tot middelhoge kans op onbevoegde toegang, aanpassing of vernietiging van informatie op de computer van een gebruiker of op verbonden computers met zich meebrengen. Nitro zal niet-kritieke beveiligingsupdates uitbrengen door een kleine update of een grote upgrade voor de huidige versie uit te brengen.

(3) Nitro zal beveiligingsupdates ontwerpen, implementeren en testen en ze beschikbaar stellen aan klanten met ondersteunde softwareversies. Meestal gebeurt dit binnen 90 dagen.

(4) Nitro zal alle kritieke kwetsbaarheden in de beveiliging, getroffen versies en relevante details over eventuele bijgewerkte versies met een oplossing voor het probleem openbaar maken op de pagina 'Beveiligingsupdates'.

For more information, please contact the Nitro Security Team at security@gonitro.com