Beveiligingsupdates
    • Laatst bijgewerkt: 10 / 25 / 2021
      Oorspronkelijk gepubliceerd: 10 / 25 / 2021

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13 . 49 en eerder

      JavaScript local_file_path Object use-after-free kwetsbaarheid

      Een speciaal vervaardigd document kan ertoe leiden dat een object dat het pad naar een document bevat, wordt vernietigd en later opnieuw wordt gebruikt, wat resulteert in een 'use-after-free'-kwetsbaarheid, die kan leiden tot uitvoering van code in de context van de toepassing. Een aanvaller kan een gebruiker overtuigen om een document te openen om dit beveiligingslek te activeren.

      CVE- 2021 - 21796
      OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 49 en eerder

      JavaScript TimeOutObject dubbele gratis kwetsbaarheid

      Een speciaal vervaardigd document kan ertoe leiden dat een verwijzing naar een time-outobject op twee verschillende plaatsen wordt opgeslagen. Wanneer het document wordt gesloten, wordt de referentie twee keer vrijgegeven. Dit kan leiden tot code-uitvoering in de context van de applicatie. Een aanvaller kan een gebruiker overtuigen om een document te openen om dit beveiligingslek te activeren.

      CVE- 2021 - 21797
      OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 9 / 10 / 2021
      Oorspronkelijk gepubliceerd: 9 / 10 / 2021

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13 . 47 en eerder

      Log 4 net parsing kwetsbaarheid
      Apache log 4 netversies vóór 2 . 0 . 10 schakel externe XML-entiteiten niet uit bij het parseren van log 4 netconfiguratiebestanden. Dit maakt op XXE gebaseerde aanvallen mogelijk in toepassingen die door een aanvaller gecontroleerde log 4 netconfiguratiebestanden accepteren.

      Belangrijk: upgrade naar de iManage Desktop-toepassing van versie 10 om deze oplossing toe te passen. 5 of nieuwer. Om te voorkomen dat documenten alleen-lezen worden, moet u ervoor zorgen dat alle documenten die op dezelfde machine zijn geopend, zijn gesloten en INGERICHT.

      CVE- 2018 - 1285OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 47 en eerderJavaScript document.flattenPages
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document dat JavaScript bevat, wat kan leiden tot uitvoering van code in de context van de toepassing.
      CVE- 2021 - 21798OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 9 / 17 / 2020
      Oorspronkelijk gepubliceerd: 9 / 1 / 2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13 . 19 en eerderObjectstroom parseren integer overloop
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een kruisverwijzingstabel, wat kan leiden tot een fout buiten de grenzen die geheugenbeschadiging veroorzaakt.
      CVE- 2020 - 6113OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 22 en eerderapp.launchURL JavaScript-opdrachtinjectie
      Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.
      CVE- 2020 - 25290OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 9 / 1 / 2020
      Oorspronkelijk gepubliceerd: 9 / 1 / 2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13 . 22 . 0 . 414 en eerderXRefTable-invoer Ontbrekend object - gebruik na gratis
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd, vervormd PDF-document, wat kan leiden tot een gebruik-na-vrij-conditie.
      CVE- 2020 - 6115OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 22 . 0 . 414 en eerderGeïndexeerde ColorSpace-weergave - Bufferoverloop
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een geïndexeerde kleurruimte, wat kan leiden tot een bufferoverloop die geheugenbeschadiging veroorzaakt.
      CVE- 2020 - 6116OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 22 . 0 . 414 en eerderICC-gebaseerde ColorSpace-weergave - Bufferoverloop
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document met een ICCBased-kleurruimte, wat kan leiden tot een bufferoverloop die geheugenbeschadiging veroorzaakt.
      CVE- 2020 - 6146OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13 . 22 . 0 . 414 en eerderapp.launchURL JavaScript-opdrachtinjectie
      Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie
      GeenOpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 8 / 2 / 2020
      Oorspronkelijk gepubliceerd: 8 / 2 / 2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing

      Nitro Pro v 12 . 16 . 3 . 574 en eerder

      Nitro Sign wordt niet beïnvloed

      Digitale handtekening "schaduwaanvallen"
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd, digitaal ondertekend PDF-document waardoor voorheen verborgen tekst kan verschijnen wanneer het document na ondertekening wordt gewijzigd.
      Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig document openen dat vooraf is voorbereid door een vertrouwde ondertekenaar.
      GeenOpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 5 / 8 / 2020
      Oorspronkelijk gepubliceerd: 5 / 8 / 2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVEStatusOplossing
      13 . 9 . 1 . 155 en eerderJavaScript XML-foutafhandeling – Toegang tot niet-geïnitialiseerde aanwijzer
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd PDF-document dat niet-geïnitialiseerde geheugentoegang kan veroorzaken, wat kan leiden tot het vrijgeven van informatie. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE- 2020 - 6093OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      13 . 9 . 1 . 155 en eerderGeneste PDF-pagina's - Gratis te gebruiken
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd kwaadaardig PDF-document dat kan leiden tot schrijftoegang buiten de grenzen met het potentieel om het geheugen te beschadigen. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE- 2020 - 6074OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      13 . 13 . 2 . 242 en eerderPDF-patroonobject – Integer Overflow of Wraparound
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigd kwaadaardig PDF-document dat kan leiden tot schrijftoegang buiten de grenzen met het potentieel om het geheugen te beschadigen. Om dit beveiligingslek te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE- 2020 - 6092OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 3 / 9 / 2020
      Oorspronkelijk gepubliceerd: 3 / 9 / 2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      13 . 9 en eerderHeap Corruptie npdf.dlll
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot een hoop corruptie
      kwetsbaarheid met het potentieel om de inhoud van het geheugen bloot te leggen.
      CVE- 2020 - 10222
      13 . 9 en eerderHeap corruptie JBIG 2 DecodeStream
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot een hoop corruptie
      kwetsbaarheid met het potentieel om de inhoud van het geheugen bloot te leggen.
      CVE- 2020 - 10223

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      13 . 13 . 2 . 242Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Laatst bijgewerkt: 1 / 9 / 2020
      Oorspronkelijk gepubliceerd: 10 / 31 / 2019

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      13 . 6 en eerderHeap Corruptie JPEG 2000 ssizDepth
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot heapcorruptie
      en de applicatie crasht. Willekeurige afstandsbedieningscode
      uitvoering is niet bewezen, maar kan mogelijk zijn.
      CVE- 2019 - 5045
      13 . 6 en eerderHeap Corruptie JPEG 2000 yTsiz
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot heapcorruptie
      en de applicatie crasht. Willekeurige afstandsbedieningscode
      uitvoering is niet bewezen, maar kan mogelijk zijn.
      CVE- 2019 - 5046
      13 . 6 en eerderGebruik na gratis CharProcs
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot 'use-after-free'
      toestand en de toepassing crasht.
      CVE- 2019 - 5047
      13 . 6 en eerderHeap Corruptie ICC-gebaseerde kleurruimte
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot heapcorruptie
      en de applicatie crasht. Willekeurige afstandsbedieningscode
      uitvoering is niet bewezen, maar kan mogelijk zijn.
      CVE- 2019 - 5048
      13 . 6 en eerderHeap Corruptie Pagina Kinderen
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot heapcorruptie
      en de applicatie crasht. Willekeurige afstandsbedieningscode
      uitvoering is niet bewezen, maar kan mogelijk zijn.
      CVE- 2019 - 5050
      13 . 8 en eerderGebruik na gratis streamlengte
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot 'use-after-free'
      toestand en de toepassing crasht.
      CVE- 2019 - 5053

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      13 . 9 . 1 . 155Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Laatst bijgewerkt: 12 / 20 / 2019
      Oorspronkelijk gepubliceerd: 12 / 20 / 2019

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      12 . 0 . 0 . 112 en eerderJBIG 2 Decodeer kwetsbaarheid voor lezen buiten de grenzen
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot een out-of-bounds
      lees kwetsbaarheid en de applicatie crasht.
      CVE- 2019 - 19817
      12 . 0 . 0 . 112 en eerderJBIG 2 Decodeer kwetsbaarheid voor lezen buiten de grenzen
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot een out-of-bounds
      lees kwetsbaarheid en de applicatie crasht.
      CVE- 2019 - 19818
      12 . 0 . 0 . 112 en eerderJBIG 2 Globals Null Pointer Deference Kwetsbaarheid
      Er bestaat een kwetsbaarheid bij het openen van een speciaal vervaardigde
      kwaadaardig PDF-document dat kan leiden tot een null-pointer
      deference kwetsbaarheid en de applicatie crasht.
      CVE- 2019 - 19819
      12 . 17 . 0 . 584 en eerderTijdelijk debug.log-bestand
      In bepaalde omstandigheden (bijv. een verlopen proefperiode) kan een tijdelijke
      bestand "debug.log" kan worden gemaakt in de Nitro Pro-werking
      map. Dit debug.log-bestand kan worden gemanipuleerd nadat
      de applicatie wordt op de normale manier gesloten.
      CVE- 2019 - 19858

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      13 . 8 . 2 . 140Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Laatst bijgewerkt: 10 / 18 / 2019
      Oorspronkelijk gepubliceerd: 10 / 18 / 2019

      Update

      Nitro werkt actief aan het aanpakken van verschillende recent gepubliceerde potentiële kwetsbaarheden. Nadat we op de hoogte waren gesteld van hun bestaan, hebben we de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van misbruik beoordeeld en (op basis van onze bestaande proactieve kwetsbaarheidsanalyse en afhandelingsprocedures) vervolgens de kwetsbaarheden in onze herstelwachtrij geplaatst.

      We nemen deze kwetsbaarheden serieus en zullen ze in een komende update aanpakken. Voor aanvullende informatie kunt u contact opnemen met security@gonitro.com.

    • Laatst bijgewerkt: 11 / 17 / 2017
      Oorspronkelijk gepubliceerd: 11 / 17 / 2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      11 . 0 . 6 en eerder
      10 . 5 . 9 . 14 en eerder
      Er bestaat een kwetsbaarheid in de Doc.SaveAs-functie die:
      kan worden misbruikt door een speciaal vervaardigd PDF-bestand,
      mogelijk leidend tot een File Write die buiten plaatsvindt
      van het beoogde pad.
      CVE- 2017 - 7442
      11 . 0 . 6 en eerder
      10 . 5 . 9 . 14 en eerder
      Er bestaat een kwetsbaarheid in de Doc.SaveAs-functie die:
      kan worden misbruikt door een speciaal vervaardigd PDF-bestand,
      mogelijk leidend tot een URL-lancering die plaatsvindt in
      combinatie met een beveiligingswaarschuwing.
      CVE- 2017 - 7442

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      11 . 0 . 8 . 470Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is
      10Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Laatst bijgewerkt: 9 / 27 / 2017
      Oorspronkelijk gepubliceerd: 9 / 27 / 2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      11 . 0 . 5 . 271 en eerder
      10 . 5 . 9 . 14 en eerder
      Een kwetsbaarheid bij het schrijven van geheugen die mogelijk kan zijn:
      misbruikt bij het openen van een speciaal vervaardigd PDF-bestand, met
      een specifiek Count-veld, wat leidt tot geheugenbeschadiging en
      een botsing. 
      CVE in behandeling
      11 . 0 . 5 . 271 en eerder
      10 . 5 . 9 . 14 en eerder
      Er bestaat een 'use-after-free'-kwetsbaarheid die mogelijk:
      misbruikt worden bij het openen van een speciaal vervaardigd PDF-bestand
      met een misvormde JPEG 2000 -afbeelding, wat leidt tot
      geheugenbeschadiging en een crash.
      CVE in behandeling

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      11 . 0 . 8 . 470Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is
      10Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Oorspronkelijk gepubliceerd: 7 / 21 / 2017

      Laatst bijgewerkt: 8 / 25 / 2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      11 . 0 . 3 . 173 en eerder
      10 . 5 . 9 . 14 en eerder
      Een out-of-bound geheugen schrijven kwetsbaarheid die zou kunnen:
      mogelijk misbruikt worden bij het openen van een speciaal vervaardigde
      PDF-bestand, wat leidt tot geheugenbeschadiging en een crash.
      CVE- 2017 - 2796
      11 . 0 . 3 . 173 en eerder
      10 . 5 . 9 . 14 en eerder
      Een heap overflow-kwetsbaarheid die mogelijk kan zijn:
      misbruikt bij het openen van een speciaal vervaardigde PCX-afbeelding
      bestand, wat resulteert in geheugenbeschadiging en een crash.
      CVE- 2017 - 7950

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      11 . 0 . 8 . 470Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is
      10Nitro kan dit beveiligingslek niet oplossen in Nitro Pro 13 . Upgrade naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Oorspronkelijk gepubliceerd: 2 / 3 / 2017

      Laatst bijgewerkt: 8 / 25 / 2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Getroffen versiesKwetsbaarheidCVE
      11 . 0 . 3 . 134 en eerder
      10 . 5 . 9 . 9 en eerder
      Een speciaal vervaardigd PDF-bestand kan mogelijk leiden tot:
      geheugenbeschadiging die tot een crash leidt.
      CVE- 2016 - 8709
      CVE- 2016 - 8713
      11 . 0 . 3 . 134 en eerder
      10 . 5 . 9 . 9 en eerder
      Een mogelijke kwetsbaarheid voor het uitvoeren van externe code in de
      PDF-ontledingsfunctionaliteit van Nitro Pro.
      CVE- 2016 - 8711

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

      Geupdate versieBeschikbaarheid
      11 . 0 . 8 . 470Werk bij naar de nieuwste versie van Nitro Pro 11 die hier beschikbaar is
      10 . 5 . 9 . 14 +Werk bij naar de nieuwste versie van Nitro Pro 13 die hier beschikbaar is

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Nitro Security Kwetsbaarheid & Bug Bounty-beleid

      Politiek

      Nitro is er trots op dat er maar weinig historische productupdates nodig waren voor beveiligingsproblemen. Het veilig houden van gebruikersinformatie is een topprioriteit en een kernwaarde van het bedrijf voor ons bij Nitro. We verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.

      Beloningen

      Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde kwetsbaarheidsrapporten. Onze minimale beloning is een Amazon-cadeaubon van $ 25 USD. Beloningen kunnen variëren, afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Houd er rekening mee dat dit geen wedstrijd of wedstrijd is. We behouden ons het recht voor om het bedrag te bepalen of zelfs of een beloning moet worden toegekend.

      Toepassingen binnen bereik

      Nitro Pro-, Nitro Sign- en Nitro Admin-applicaties komen in aanmerking voor het premieprogramma. Daarnaast komen ook alle cloudgebaseerde partnerplatformapplicaties in aanmerking (bijv. Nitro File Actions). We kunnen nog steeds alles belonen met een aanzienlijke impact op onze hele beveiligingshouding, dus we moedigen u aan om dergelijke kwetsbaarheden via dit programma te melden.

      Rapportage en geschiktheid van beveiligingsproblemen

      Alle kwetsbaarheden in de Nitro-beveiliging moeten via e-mail worden gemeld aan het Nitro-beveiligingsteam op security@gonitro.com . Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de gebruikersveiligheid te vergroten, vragen we u:

      • Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de applicatie, de getroffen versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de daadwerkelijke en potentiële impact van de kwetsbaarheid en details over hoe deze kan worden uitgebuit;
      • Voeg een proof-of-concept-bestand toe;
      • Respecteer onze bestaande applicaties. Het spammen van formulieren via geautomatiseerde kwetsbaarheidsscanners zal niet resulteren in een premie, aangezien deze expliciet buiten het bereik vallen;
      • Geef ons een redelijke tijd om op het probleem te reageren voordat we er informatie over openbaar maken;
      • Geen toegang tot of wijziging van onze gegevens of de gegevens van onze gebruikers, zonder uitdrukkelijke toestemming van de eigenaar. Alleen interactie met uw eigen accounts of testaccounts voor veiligheidsonderzoeksdoeleinden;
      • Neem direct contact met ons op als u onverhoopt toch gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, opslaan, overdragen of anderszins openen, en lokale informatie onmiddellijk wissen na melding van de kwetsbaarheid aan Nitro;
      • Te goeder trouw handelen om privacyschendingen, vernietiging van gegevens en onderbreking of degradatie van onze diensten (inclusief denial of service) te voorkomen; en
      • Anders voldoen aan alle toepasselijke wetten.

      We belonen alleen de eerste melder van een kwetsbaarheid. Openbare bekendmaking van het beveiligingslek voorafgaand aan de oplossing kan een in behandeling zijnde beloning annuleren. We behouden ons het recht voor om personen uit het programma te diskwalificeren wegens respectloos of storend gedrag.

      We zullen niet onderhandelen als reactie op dwang of bedreigingen (we zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder dreiging van het achterhouden van de kwetsbaarheid of de dreiging van het vrijgeven van de kwetsbaarheid of enige blootgestelde gegevens aan het publiek).

      Beveiligingskwetsbaarheidsproces:

      ( 1 ) Nitro erkent en beoordeelt elke gemelde kwetsbaarheid volgens de bovenstaande instructies, doorgaans binnen 7 dagen.

      ( 2 ) Wanneer een kwetsbaarheid wordt bevestigd, voert Nitro een risicoanalyse uit met behulp van het Common Vulnerability Scoring System (CVSS v 3 ) en bepaalt de meest geschikte reactie voor Nitro-klanten.

      • Kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een hoog risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro lost kritieke beveiligingsproblemen op met een productupdate voor de huidige en vorige release van Nitro Pro en alle cloudservices, volgens het productupdates- en zonsondergangbeleid .
      • Niet-kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een laag tot matig risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingsproblemen oplossen met alleen een productupdate voor de huidige release van Nitro Pro en alle cloudservices volgens het productupdates- en zonsondergangbeleid .

      ( 3 ) Nitro ontwerpt, implementeert en test een oplossing voor alle kritieke beveiligingsproblemen en levert een productupdate aan klanten, doorgaans binnen 90 dagen.

      ( 4 ) Nitro zal alle kritieke beveiligingsproblemen, getroffen versies en relevante details van productupdates die de problemen verhelpen openbaar maken op deze pagina met Nitro-beveiligingsupdates. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.

      Buiten bereik gelegen beveiligingsproblemen

      De volgende zaken vallen buiten de reikwijdte van dit beleid & beloningsprogramma:

      • Aanvallen die fysieke toegang tot het apparaat van een gebruiker vereisen.
      • Ontbrekende beveiligingsheaders die niet direct leiden tot een kwetsbaarheid.
      • Ontbrekende best practices (we hebben bewijs nodig van een beveiligingsprobleem).
      • Gebruik van een bekende-kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
      • Social engineering van Nitro-medewerkers of -contractanten.
      • Meldingen van onveilige SSL/TLS-coderingen (tenzij je een werkend proof of concept hebt en niet alleen een rapport van een scanner).
      • Spoofing van inhoud en kwetsbaarheden voor pure tekstinjectie (waarbij u alleen tekst of een afbeelding in een pagina kunt invoegen). We zullen een spoofing-kwetsbaarheid accepteren en oplossen waarbij een aanvaller afbeelding of rich text (HTML) kan injecteren, maar het komt niet in aanmerking voor een premie.
      • Nitro-services, tenzij u privé-IP's of Nitro-servers kunt bereiken.

      Gevolgen van het naleven van dit beleid

      We zullen geen civiele actie ondernemen of een klacht indienen bij wetshandhavers wegens onopzettelijke, te goeder trouw schendingen van dit beleid. We beschouwen activiteiten die worden uitgevoerd in overeenstemming met dit beleid als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor acceptabel gebruik, zien we af van deze beperkingen voor het beperkte doel om beveiligingsonderzoek onder dit beleid toe te staan. We zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die we hebben gebruikt om de toepassingen in de reikwijdte te beschermen.

      Als er juridische stappen tegen u worden ondernomen door een derde partij en u hebt voldaan aan het Nitro-beleid voor beveiligingsproblemen en bugbounty's, zal Nitro stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

      Dien alstublieft een rapport bij ons in voordat u zich inlaat met gedrag dat in strijd is met of niet wordt aangepakt door dit beleid.

      De kleine lettertjes

      U bent verantwoordelijk voor het betalen van eventuele belastingen in verband met beloningen. We kunnen de voorwaarden van dit programma wijzigen of dit programma op elk moment beëindigen. We zullen wijzigingen die we in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die volgens de wet niet mogen betalen, komen niet in aanmerking voor beloningen. Nitro-werknemers en hun gezinsleden komen niet in aanmerking voor beloningen.

      Om de acceptatie van bug bounty-programma's aan te moedigen en uniforme best practices voor beveiliging in de hele branche te promoten, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en bent u dus vrij om het voor uw eigen doeleinden te kopiëren en aan te passen.

      Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

    • Update beveiligingsincident

      Op september 30 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang tot Nitro-databases had.

      Toen Nitro hoorde over dit incident, ondernam het onmiddellijk actie om ervoor te zorgen dat de Nitro-omgeving veilig was en startte een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu voltooid en Nitro kan meer details geven:

      • Het incident betrof toegang tot specifieke Nitro-databases, die bepaalde onlinediensten ondersteunen en voornamelijk zijn gebruikt voor de opslag van informatie die verband houdt met de gratis onlineproducten van Nitro.
      • Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of Nitro-klant te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarnaar geconverteerde bestanden worden afgeleverd.
      • Er was geen impact op Nitro Pro of Nitro Analytics.
      • Blootgestelde gebruikersgegevens omvatten e-mailadressen van gebruikers, volledige namen, zeer veilige gehashte en gezouten wachtwoorden, evenals metagegevens van documenten met betrekking tot de online Nitro-services. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
      • Wachtwoorden werden niet beïnvloed voor gebruikers die toegang hebben tot onze cloudservices via Single Sign-On (SSO).
      • Het onderzoek identificeerde verder beperkte activiteit van de niet-geautoriseerde derde partij op een verouderde locatie van cloudservices, met een impact van minder dan 0 . 0073 % van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de ongeautoriseerde derde partij specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.

      Toen Nitro dit incident vernam, voerde Nitro een gedwongen wachtwoordreset uit voor alle gebruikers om de klantaccounts verder te beveiligen. Daarnaast omvat algemene richtlijnen voor het handhaven van een goede cyberhygiëne:

      • Regelmatig online accountwachtwoorden wijzigen, een apart wachtwoord gebruiken voor internetbankieren en een wachtwoordbeheerder gebruiken om meerdere wachtwoorden te onthouden.
      • Nooit wachtwoorden e-mailen voor online accounts en bevestigen of online accounts veilig zijn door naar https://haveibeenpwned.com/ te gaan.
      • Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date antivirussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt om toegang te krijgen tot online accounts.

      Sinds het incident heeft het Nitro IT-beveiligingsteam nauw samengewerkt met externe cyberbeveiligingsexperts om de beveiliging van alle systemen te versterken, inclusief verbeterde logging-, detectie- en waarschuwingsservices in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen . De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadwillende activiteiten meer gezien.

      Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus en we zijn hier om onze klanten op elke mogelijke manier te ondersteunen. We raden iedereen met vragen aan om contact op te nemen met incident@gonitro.com .

Elektronische handtekeningen
Een leider in e-handtekeningen
Nitro Sign erkend als leider in het 2022 GigaOm Radar Report for eSignatures. Lees meer over GigaOm's evaluatie en analyse van de beste eSignature-leveranciers in de categorie.