-
Laatst bijgewerkt: 10 / 25 / 2021
Oorspronkelijk gepubliceerd: 10 / 25 / 2021Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13 . 49 en eerder JavaScript local_file_path Object use-after-free kwetsbaarheid
Een speciaal vervaardigd document kan ertoe leiden dat een object dat het pad naar een document bevat, wordt vernietigd en later opnieuw wordt gebruikt, wat resulteert in een 'use-after-free'-kwetsbaarheid, die kan leiden tot uitvoering van code in de context van de toepassing. Een aanvaller kan een gebruiker overtuigen om een document te openen om dit beveiligingslek te activeren.
CVE- 2021 - 21796 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 49 en eerder JavaScript TimeOutObject dubbele gratis kwetsbaarheid
Een speciaal vervaardigd document kan ertoe leiden dat een verwijzing naar een time-outobject op twee verschillende plaatsen wordt opgeslagen. Wanneer het document wordt gesloten, wordt de referentie twee keer vrijgegeven. Dit kan leiden tot code-uitvoering in de context van de applicatie. Een aanvaller kan een gebruiker overtuigen om een document te openen om dit beveiligingslek te activeren.
CVE- 2021 - 21797 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 9 / 10 / 2021
Oorspronkelijk gepubliceerd: 9 / 10 / 2021Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13 . 47 en eerder Log 4 net parsing kwetsbaarheid
Apache log 4 netversies vóór 2 . 0 . 10 schakel externe XML-entiteiten niet uit bij het parseren van log 4 netconfiguratiebestanden. Dit maakt op XXE gebaseerde aanvallen mogelijk in toepassingen die door een aanvaller gecontroleerde log 4 netconfiguratiebestanden accepteren.Belangrijk: upgrade naar de iManage Desktop-toepassing van versie 10 om deze oplossing toe te passen. 5 of nieuwer. Om te voorkomen dat documenten alleen-lezen worden, moet u ervoor zorgen dat alle documenten die op dezelfde machine zijn geopend, zijn gesloten en INGERICHT.
CVE- 2018 - 1285 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 47 en eerder JavaScript document.flattenPages
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document dat JavaScript bevat, wat kan leiden tot uitvoering van code in de context van de toepassing.CVE- 2021 - 21798 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 9 / 17 / 2020
Oorspronkelijk gepubliceerd: 9 / 1 / 2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13 . 19 en eerder Objectstroom parseren integer overloop
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een kruisverwijzingstabel, wat kan leiden tot een fout buiten de grenzen die geheugenbeschadiging veroorzaakt.CVE- 2020 - 6113 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 22 en eerder app.launchURL JavaScript-opdrachtinjectie
Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.CVE- 2020 - 25290 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 9 / 1 / 2020
Oorspronkelijk gepubliceerd: 9 / 1 / 2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13 . 22 . 0 . 414 en eerder XRefTable-invoer Ontbrekend object - gebruik na gratis
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd, vervormd PDF-document, wat kan leiden tot een gebruik-na-vrij-conditie.CVE- 2020 - 6115 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 22 . 0 . 414 en eerder Geïndexeerde ColorSpace-weergave - Bufferoverloop
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een geïndexeerde kleurruimte, wat kan leiden tot een bufferoverloop die geheugenbeschadiging veroorzaakt.CVE- 2020 - 6116 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 22 . 0 . 414 en eerder ICC-gebaseerde ColorSpace-weergave - Bufferoverloop
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een ICCBased-kleurruimte, wat kan leiden tot een bufferoverloop die geheugenbeschadiging veroorzaakt.CVE- 2020 - 6146 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13 . 22 . 0 . 414 en eerder app.launchURL JavaScript-opdrachtinjectie
Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectieGeen Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 8 / 2 / 2020
Oorspronkelijk gepubliceerd: 8 / 2 / 2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 12 . 16 . 3 . 574 en eerder
Nitro Sign wordt niet beïnvloed
Digitale handtekening "schaduwaanvallen"
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd, digitaal ondertekend PDF-document waardoor voorheen verborgen tekst kan verschijnen wanneer het document na ondertekening wordt gewijzigd.
Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig document openen dat vooraf is voorbereid door een vertrouwde ondertekenaar.Geen Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 5 / 8 / 2020
Oorspronkelijk gepubliceerd: 5 / 8 / 2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE Status Oplossing 13 . 9 . 1 . 155 en eerder JavaScript XML-foutafhandeling – Toegang tot niet-geïnitialiseerde aanwijzer
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document dat niet-geïnitialiseerde geheugentoegang kan veroorzaken, wat kan leiden tot het vrijgeven van informatie. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.CVE- 2020 - 6093 Opgelost Upgrade naar de nieuwste versie van Nitro Pro 13 . 9 . 1 . 155 en eerder Geneste PDF-pagina's - Gratis te gebruiken
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd kwaadaardig PDF-document dat kan leiden tot schrijftoegang buiten de grenzen met het potentieel om het geheugen te beschadigen. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.CVE- 2020 - 6074 Opgelost Upgrade naar de nieuwste versie van Nitro Pro 13 . 13 . 2 . 242 en eerder PDF-patroonobject – Integer Overflow of Wraparound
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd kwaadaardig PDF-document dat kan leiden tot schrijftoegang buiten de grenzen met het potentieel om het geheugen te beschadigen. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.CVE- 2020 - 6092 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 3 / 9 / 2020
Oorspronkelijk gepubliceerd: 3 / 9 / 2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 13 . 9 en eerder Heap Corruptie npdf.dlll
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot een hoop corruptie
kwetsbaarheid met het potentieel om de inhoud van het geheugen bloot te leggen.CVE- 2020 - 10222 13 . 9 en eerder Heap corruptie JBIG 2 DecodeStream
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot een hoop corruptie
kwetsbaarheid met het potentieel om de inhoud van het geheugen bloot te leggen.CVE- 2020 - 10223 Oplossing
Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 13 . 13 . 2 . 242 Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Laatst bijgewerkt: 1 / 9 / 2020
Oorspronkelijk gepubliceerd: 10 / 31 / 2019Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 13 . 6 en eerder Heap Corruptie JPEG 2000 ssizDepth
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot heapcorruptie
en de applicatie crasht. Willekeurige afstandsbedieningscode
uitvoering is niet bewezen, maar kan mogelijk zijn.CVE- 2019 - 5045 13 . 6 en eerder Heap Corruptie JPEG 2000 yTsiz
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot heapcorruptie
en de applicatie crasht. Willekeurige afstandsbedieningscode
uitvoering is niet bewezen, maar kan mogelijk zijn.CVE- 2019 - 5046 13 . 6 en eerder Gebruik na gratis CharProcs
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot 'use-after-free'
toestand en de toepassing crasht.CVE- 2019 - 5047 13 . 6 en eerder Heap Corruptie ICC-gebaseerde kleurruimte
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot heapcorruptie
en de applicatie crasht. Willekeurige afstandsbedieningscode
uitvoering is niet bewezen, maar kan mogelijk zijn.CVE- 2019 - 5048 13 . 6 en eerder Heap Corruptie Pagina Kinderen
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot heapcorruptie
en de applicatie crasht. Willekeurige afstandsbedieningscode
uitvoering is niet bewezen, maar kan mogelijk zijn.CVE- 2019 - 5050 13 . 8 en eerder Gebruik na gratis streamlengte
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot 'use-after-free'
toestand en de toepassing crasht.CVE- 2019 - 5053 Oplossing
Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 13 . 9 . 1 . 155 Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Laatst bijgewerkt: 12 / 20 / 2019
Oorspronkelijk gepubliceerd: 12 / 20 / 2019Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 12 . 0 . 0 . 112 en eerder JBIG 2 Decodeer kwetsbaarheid voor lezen buiten de grenzen
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot een out-of-bounds
lees kwetsbaarheid en de applicatie crasht.CVE- 2019 - 19817 12 . 0 . 0 . 112 en eerder JBIG 2 Decodeer kwetsbaarheid voor lezen buiten de grenzen
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot een out-of-bounds
lees kwetsbaarheid en de applicatie crasht.CVE- 2019 - 19818 12 . 0 . 0 . 112 en eerder JBIG 2 Globals Null Pointer Deference Kwetsbaarheid
Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
kwaadaardig PDF-document dat kan leiden tot een null-pointer
deference kwetsbaarheid en de applicatie crasht.CVE- 2019 - 19819 12 . 17 . 0 . 584 en eerder Tijdelijk debug.log-bestand
In bepaalde omstandigheden (bijv. een verlopen proefperiode) kan een tijdelijke
bestand "debug.log" kan worden gemaakt in de Nitro Pro-werking
map. Dit debug.log-bestand kan worden gemanipuleerd nadat
de applicatie wordt op de normale manier gesloten.CVE- 2019 - 19858 Oplossing
Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 13 . 8 . 2 . 140 Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Laatst bijgewerkt: 10 / 18 / 2019
Oorspronkelijk gepubliceerd: 10 / 18 / 2019Update
Nitro werkt actief aan het aanpakken van verschillende recent gepubliceerde potentiële kwetsbaarheden. Nadat we op de hoogte waren gesteld van hun bestaan, hebben we de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van misbruik beoordeeld en (op basis van onze bestaande proactieve kwetsbaarheidsanalyse en afhandelingsprocedures) vervolgens de kwetsbaarheden in onze herstelwachtrij geplaatst.
We nemen deze kwetsbaarheden serieus en zullen ze in een komende update aanpakken. Voor aanvullende informatie kunt u contact opnemen met security@gonitro.com.
-
Laatst bijgewerkt: 11 / 17 / 2017
Oorspronkelijk gepubliceerd: 11 / 17 / 2017Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 11 . 0 . 6 en eerder
10 . 5 . 9 . 14 en eerderEr bestaat een kwetsbaarheid in de Doc.SaveAs-functie die:
kan worden misbruikt door een speciaal vervaardigd PDF-bestand,
mogelijk leidend tot een File Write die buiten plaatsvindt
van het beoogde pad.CVE- 2017 - 7442 11 . 0 . 6 en eerder
10 . 5 . 9 . 14 en eerderEr bestaat een kwetsbaarheid in de Doc.SaveAs-functie die:
kan worden misbruikt door een speciaal vervaardigd PDF-bestand,
mogelijk leidend tot een URL-lancering die plaatsvindt in
combinatie met een beveiligingswaarschuwing.CVE- 2017 - 7442 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 11 . 0 . 8 . 470 Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is 10 Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Laatst bijgewerkt: 9 / 27 / 2017
Oorspronkelijk gepubliceerd: 9 / 27 / 2017Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 11 . 0 . 5 . 271 en eerder
10 . 5 . 9 . 14 en eerderEen kwetsbaarheid bij het schrijven van geheugen die mogelijk kan zijn:
misbruikt bij het openen van een speciaal vervaardigd PDF-bestand, met
een specifiek Count-veld, wat leidt tot geheugenbeschadiging en
een botsing.CVE in behandeling 11 . 0 . 5 . 271 en eerder
10 . 5 . 9 . 14 en eerderEr bestaat een 'use-after-free'-kwetsbaarheid die mogelijk:
misbruikt worden bij het openen van een speciaal vervaardigd PDF-bestand
met een misvormde JPEG 2000 -afbeelding, wat leidt tot
geheugenbeschadiging en een crash.CVE in behandeling Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 11 . 0 . 8 . 470 Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is 10 Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Oorspronkelijk gepubliceerd: 7 / 21 / 2017
Laatst bijgewerkt: 8 / 25 / 2017
Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 11 . 0 . 3 . 173 en eerder
10 . 5 . 9 . 14 en eerderEen out-of-bound geheugen schrijven kwetsbaarheid die zou kunnen:
mogelijk misbruikt worden bij het openen van een speciaal vervaardigde
PDF-bestand, wat leidt tot geheugenbeschadiging en een crash.CVE- 2017 - 2796 11 . 0 . 3 . 173 en eerder
10 . 5 . 9 . 14 en eerderEen heap overflow-kwetsbaarheid die mogelijk kan zijn:
misbruikt bij het openen van een speciaal vervaardigde PCX-afbeelding
bestand, wat resulteert in geheugenbeschadiging en een crash.CVE- 2017 - 7950 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 11 . 0 . 8 . 470 Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is 10 Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Oorspronkelijk gepubliceerd: 2 / 3 / 2017
Laatst bijgewerkt: 8 / 25 / 2017
Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Getroffen versies Kwetsbaarheid CVE 11 . 0 . 3 . 134 en eerder
10 . 5 . 9 . 9 en eerderEen speciaal vervaardigd PDF-bestand kan mogelijk leiden tot:
geheugenbeschadiging die tot een crash leidt.CVE- 2016 - 8709
CVE- 2016 - 871311 . 0 . 3 . 134 en eerder
10 . 5 . 9 . 9 en eerderEen mogelijke kwetsbaarheid voor het uitvoeren van externe code in de
PDF-ontledingsfunctionaliteit van Nitro Pro.CVE- 2016 - 8711 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.
Geupdate versie Beschikbaarheid 11 . 0 . 8 . 470 Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is 10 . 5 . 9 . 14 + Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Nitro Security Kwetsbaarheid & Bug Bounty-beleid
Politiek
Nitro is er trots op dat er maar weinig historische productupdates nodig waren voor beveiligingsproblemen. Het veilig houden van gebruikersinformatie is een topprioriteit en een kernwaarde van het bedrijf voor ons bij Nitro. We verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.
Beloningen
Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde kwetsbaarheidsrapporten. Onze minimale beloning is een Amazon-cadeaubon van $ 25 USD. Beloningen kunnen variëren, afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Houd er rekening mee dat dit geen wedstrijd of wedstrijd is. We behouden ons het recht voor om het bedrag te bepalen of zelfs of een beloning moet worden toegekend.
Toepassingen binnen bereik
Nitro Pro-, Nitro Sign- en Nitro Admin-applicaties komen in aanmerking voor het premieprogramma. Daarnaast komen ook alle cloudgebaseerde partnerplatformapplicaties in aanmerking (bijv. Nitro File Actions). We kunnen nog steeds alles belonen met een aanzienlijke impact op onze hele beveiligingshouding, dus we moedigen u aan om dergelijke kwetsbaarheden via dit programma te melden.
Rapportage en geschiktheid van beveiligingsproblemen
Alle kwetsbaarheden in de Nitro-beveiliging moeten via e-mail worden gemeld aan het Nitro-beveiligingsteam op security@gonitro.com . Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de gebruikersveiligheid te vergroten, vragen we u:
- Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de applicatie, de getroffen versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de daadwerkelijke en potentiële impact van de kwetsbaarheid en details over hoe deze kan worden uitgebuit;
- Voeg een proof-of-concept-bestand toe;
- Respecteer onze bestaande applicaties. Het spammen van formulieren via geautomatiseerde kwetsbaarheidsscanners zal niet resulteren in een premie, aangezien deze expliciet buiten het bereik vallen;
- Geef ons een redelijke tijd om op het probleem te reageren voordat we er informatie over openbaar maken;
- Geen toegang tot of wijziging van onze gegevens of de gegevens van onze gebruikers, zonder uitdrukkelijke toestemming van de eigenaar. Alleen interactie met uw eigen accounts of testaccounts voor veiligheidsonderzoeksdoeleinden;
- Neem direct contact met ons op als u onverhoopt toch gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, opslaan, overdragen of anderszins openen, en lokale informatie onmiddellijk wissen na melding van de kwetsbaarheid aan Nitro;
- Te goeder trouw handelen om privacyschendingen, vernietiging van gegevens en onderbreking of degradatie van onze diensten (inclusief denial of service) te voorkomen; en
- Anders voldoen aan alle toepasselijke wetten.
We belonen alleen de eerste melder van een kwetsbaarheid. Openbare bekendmaking van het beveiligingslek voorafgaand aan de oplossing kan een in behandeling zijnde beloning annuleren. We behouden ons het recht voor om personen uit het programma te diskwalificeren wegens respectloos of storend gedrag.
We zullen niet onderhandelen als reactie op dwang of bedreigingen (we zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder dreiging van het achterhouden van de kwetsbaarheid of de dreiging van het vrijgeven van de kwetsbaarheid of enige blootgestelde gegevens aan het publiek).
Beveiligingskwetsbaarheidsproces:
( 1 ) Nitro erkent en beoordeelt elke gemelde kwetsbaarheid volgens de bovenstaande instructies, doorgaans binnen 7 dagen.
( 2 ) Wanneer een kwetsbaarheid wordt bevestigd, voert Nitro een risicoanalyse uit met behulp van het Common Vulnerability Scoring System (CVSS v 3 ) en bepaalt de meest geschikte reactie voor Nitro-klanten.
- Kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een hoog risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro lost kritieke beveiligingsproblemen op met een productupdate voor de huidige en vorige release van Nitro Pro en alle cloudservices, volgens het productupdates- en zonsondergangbeleid .
- Niet-kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een laag tot matig risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingsproblemen oplossen met alleen een productupdate voor de huidige release van Nitro Pro en alle cloudservices volgens het productupdates- en zonsondergangbeleid .
( 3 ) Nitro ontwerpt, implementeert en test een oplossing voor alle kritieke beveiligingsproblemen en levert een productupdate aan klanten, doorgaans binnen 90 dagen.
( 4 ) Nitro zal alle kritieke beveiligingsproblemen, getroffen versies en relevante details van productupdates die de problemen verhelpen openbaar maken op deze pagina met Nitro-beveiligingsupdates. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.
Buiten bereik gelegen beveiligingsproblemen
De volgende zaken vallen buiten de reikwijdte van dit beleid & beloningsprogramma:
- Aanvallen die fysieke toegang tot het apparaat van een gebruiker vereisen.
- Ontbrekende beveiligingsheaders die niet direct leiden tot een kwetsbaarheid.
- Ontbrekende best practices (we hebben bewijs nodig van een beveiligingsprobleem).
- Gebruik van een bekende-kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
- Social engineering van Nitro-medewerkers of -contractanten.
- Meldingen van onveilige SSL/TLS-coderingen (tenzij je een werkend proof of concept hebt en niet alleen een rapport van een scanner).
- Spoofing van inhoud en kwetsbaarheden voor pure tekstinjectie (waarbij u alleen tekst of een afbeelding in een pagina kunt invoegen). We zullen een spoofing-kwetsbaarheid accepteren en oplossen waarbij een aanvaller afbeelding of rich text (HTML) kan injecteren, maar het komt niet in aanmerking voor een premie.
- Nitro-services, tenzij u privé-IP's of Nitro-servers kunt bereiken.
Gevolgen van het naleven van dit beleid
We zullen geen civiele actie ondernemen of een klacht indienen bij wetshandhavers wegens onopzettelijke, te goeder trouw schendingen van dit beleid. We beschouwen activiteiten die worden uitgevoerd in overeenstemming met dit beleid als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor acceptabel gebruik, zien we af van deze beperkingen voor het beperkte doel om beveiligingsonderzoek onder dit beleid toe te staan. We zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die we hebben gebruikt om de toepassingen in de reikwijdte te beschermen.
Als er juridische stappen tegen u worden ondernomen door een derde partij en u hebt voldaan aan het Nitro-beleid voor beveiligingsproblemen en bugbounty's, zal Nitro stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.
Dien alstublieft een rapport bij ons in voordat u zich inlaat met gedrag dat in strijd is met of niet wordt aangepakt door dit beleid.
De kleine lettertjes
U bent verantwoordelijk voor het betalen van eventuele belastingen in verband met beloningen. We kunnen de voorwaarden van dit programma wijzigen of dit programma op elk moment beëindigen. We zullen wijzigingen die we in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die volgens de wet niet mogen betalen, komen niet in aanmerking voor beloningen. Nitro-werknemers en hun gezinsleden komen niet in aanmerking voor beloningen.
Om de acceptatie van bug bounty-programma's aan te moedigen en uniforme best practices voor beveiliging in de hele branche te promoten, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en bent u dus vrij om het voor uw eigen doeleinden te kopiëren en aan te passen.
Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com
-
Update beveiligingsincident
Op september 30 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang tot Nitro-databases had.
Toen Nitro hoorde over dit incident, ondernam het onmiddellijk actie om ervoor te zorgen dat de Nitro-omgeving veilig was en startte een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu voltooid en Nitro kan meer details geven:
- Het incident betrof toegang tot specifieke Nitro-databases, die bepaalde onlinediensten ondersteunen en voornamelijk zijn gebruikt voor de opslag van informatie die verband houdt met de gratis onlineproducten van Nitro.
- Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of Nitro-klant te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarnaar geconverteerde bestanden worden afgeleverd.
- Er was geen impact op Nitro Pro of Nitro Analytics.
- Blootgestelde gebruikersgegevens omvatten e-mailadressen van gebruikers, volledige namen, zeer veilige gehashte en gezouten wachtwoorden, evenals metagegevens van documenten met betrekking tot de online Nitro-services. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
- Wachtwoorden werden niet beïnvloed voor gebruikers die toegang hebben tot onze cloudservices via Single Sign-On (SSO).
- Het onderzoek identificeerde verder beperkte activiteit van de niet-geautoriseerde derde partij op een verouderde locatie van cloudservices, met een impact van minder dan 0 . 0073 % van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de ongeautoriseerde derde partij specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.
Toen Nitro dit incident vernam, voerde Nitro een gedwongen wachtwoordreset uit voor alle gebruikers om de klantaccounts verder te beveiligen. Daarnaast omvat algemene richtlijnen voor het handhaven van een goede cyberhygiëne:
- Regelmatig online accountwachtwoorden wijzigen, een apart wachtwoord gebruiken voor internetbankieren en een wachtwoordbeheerder gebruiken om meerdere wachtwoorden te onthouden.
- Nooit wachtwoorden e-mailen voor online accounts en bevestigen of online accounts veilig zijn door naar https://haveibeenpwned.com/ te gaan.
- Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date antivirussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt om toegang te krijgen tot online accounts.
Sinds het incident heeft het Nitro IT-beveiligingsteam nauw samengewerkt met externe cyberbeveiligingsexperts om de beveiliging van alle systemen te versterken, inclusief verbeterde logging-, detectie- en waarschuwingsservices in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen . De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadwillende activiteiten meer gezien.
Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus en we zijn hier om onze klanten op elke mogelijke manier te ondersteunen. We raden iedereen met vragen aan om contact op te nemen met incident@gonitro.com .
Beveiligingsupdates