Productinformatie
Beveiligingsupdates

Nitro PDF Pro voor Windows

Releasedatum: 12/5/2024
    • Laatst bijgewerkt: 12/5/2024
      Oorspronkelijk gepubliceerd: 12/5/2023

      Update

      Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Betrokken versie(s)KwetsbaarheidCVEStatusOplossingErkenning

      Nitro PDF Pro voor Windows 14.32 en eerder

      Escalatie van lokale bevoegdhedenN.V.T.OpgelostUpgrade naar 14.34.1.0N.V.T.
    • Laatst bijgewerkt: 09/25/2024
      Oorspronkelijk gepubliceerd: 07/25/2023

      Update

      Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Betrokken versie(s)KwetsbaarheidCVEStatusOplossingErkenning

      Nitro PDF Pro voor Windows 13.70.7.60 en eerder

      Nitro PDF Pro voor Windows 14.18.1.41 en eerder

      Er is een beveiligingslek geïdentificeerd in het MSI-installatieprogramma, waardoor escalatie van lokale bevoegdheden mogelijk is.
      CVE-2024-35288Opgelost

      Upgrade naar versie 13.70.8.82+

      Upgrade naar versie 14.26.0+

      Sandro Einfeldt en Michael Baer, SEC Consult Vulnerability Lab

      Nitro Pro- 13.70.7.60 en eerder

      Nitro Pro- 14.18.1.41 en eerder

      Een beveiligingslek in de gegevensverwerking voor XFA-documenten kan ertoe leiden dat een bestand op een willekeurige locatie in het bestandssysteem van de gebruiker wordt opgeslagen.CVE-2024-44079Opgelost

      Upgrade naar versie 13.70.8.82+

      Upgrade naar versie 14.27.0+

      Jörn Henkel
    • Laatst bijgewerkt: 07/28/2023
      Oorspronkelijk gepubliceerd: 07/25/2023

      Update

      Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing

      Nitro Pro- 13.70.4.50 en eerder

      Nitro Pro v14.1.2.47 – 14.5.0.11

      Een beveiligingslek in Artifex Ghostscript

      Er is een beveiligingslek vastgesteld in Artifex Ghostscript, dat wordt gebruikt voor het weergeven en converteren van bestanden

      CVE-2023-36664Opgelost

      Upgrade naar v13.70.7.60

      Upgrade naar v14.7.1.21 of hoger

    • Laatst bijgewerkt: 03/16/2023
      Oorspronkelijk gepubliceerd: 03/16/2023

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.70.2 en eerder

      Een beveiligingsprobleem in de Zlib-versie, een bibliotheek voor gegevenscompressie die wordt gebruikt door Nitro PDF Pro

      Er is een beveiligingslek ontdekt in de Zlib-versie, een datacompressiebibliotheek die wordt gebruikt door Nitro PDF Pro.

      CVE-2022-37434OpgelostUpgrade naar de nieuwste versie van Nitro PDF Pro
      Nitro Pro v 13.70.2 en eerder

      OpenSSL-kwetsbaarheid - Toegang tot bron met incompatibel type ('Type Confusion')

      OpenSSL-kwetsbaarheid - Toegang tot bronnen met incompatibel type ('Type Confusion') Deze kwetsbaarheid is verholpen door te upgraden naar OpenSSL 1 . 1 . 1 t.

      CVE-2023-0286OpgelostUpgrade naar de nieuwste versie van Nitro PDF Pro
    • Laatst bijgewerkt: 12/7/2022
      Oorspronkelijk gepubliceerd: 12/7/2022

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.70.0 en eerder

      Uitvoering van willekeurige commando's binnen de toepassing

      Er bestaat een kwetsbaarheid waarbij de toepassing speciaal ontworpen PDF-documenten toestaat om willekeurige opdrachten uit te voeren binnen de toepassing.

      CVE-2022-46406OpgelostUpgrade naar de nieuwste versie van Nitro PDF Pro
    • Laatst bijgewerkt: 10/25/2021
      Oorspronkelijk gepubliceerd: 10/25/2021

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.49 en eerder

      JavaScript local_file_path Object use-after-free kwetsbaarheid

      Een speciaal ontworpen document kan ervoor zorgen dat een object met het pad naar een document wordt vernietigd en later opnieuw wordt gebruikt, wat resulteert in een use-after-free kwetsbaarheid, die kan leiden tot het uitvoeren van code binnen de context van de toepassing. Een aanvaller kan een gebruiker ervan overtuigen een document te openen om deze kwetsbaarheid te activeren.

      CVE-2021-21796
      OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.49 en eerder

      JavaScript TimeOutObject dubbele vrije kwetsbaarheid

      Een speciaal ontworpen document kan ervoor zorgen dat een verwijzing naar een time-outobject op twee verschillende plaatsen wordt opgeslagen. Wanneer het document wordt gesloten, wordt de referentie tweemaal vrijgegeven. Dit kan leiden tot het uitvoeren van code onder de context van de toepassing. Een aanvaller kan een gebruiker ervan overtuigen een document te openen om deze kwetsbaarheid te activeren.

      CVE-2021-21797
      OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 9/10/2021
      Oorspronkelijk gepubliceerd: 9/10/2021

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.47 en eerder

      Log4net parsing kwetsbaarheid
      Apache log4net versies voor 2.0.10 schakel externe XML-entiteiten niet uit bij het parsen van log4net-configuratiebestanden. Dit maakt op XXE gebaseerde aanvallen mogelijk in toepassingen die door aanvallers gecontroleerde log4net-configuratiebestanden accepteren.

      Belangrijk: Om deze fix toe te passen, moet u upgraden naar de iManage Desktop applicatie van versie 10.5 of nieuwer. Om te voorkomen dat documenten alleen-lezen worden, moet u ervoor zorgen dat alle documenten die op dezelfde machine zijn geopend, worden gesloten en INGEKEKEND.

      CVE-2018-1285OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.47 en eerderJavaScript document.flattenPages
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot het uitvoeren van code onder de context van de toepassing.
      CVE-2021-21798OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Update beveiligingsincidenten

      Op 30 september 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang had tot Nitro-databases.

      Toen Nitro van dit incident hoorde, nam het onmiddellijk maatregelen om ervoor te zorgen dat de Nitro-omgeving veilig was en startte het een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu afgerond en Nitro kan verdere details verstrekken:

      • Het incident betrof de toegang tot specifieke databases van Nitro, die bepaalde onlinediensten ondersteunen en voornamelijk werden gebruikt voor de opslag van informatie in verband met de gratis onlineproducten van Nitro.
      • Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of klant van Nitro te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarop de geconverteerde bestanden worden afgeleverd.
      • Er was geen impact op Nitro Pro of Nitro Analytics.
      • Tot de blootgelegde gebruikersgegevens behoorden e-mailadressen van gebruikers, volledige namen, sterk beveiligde gehashte en gezouten wachtwoorden en metadata van documenten in verband met de online diensten van Nitro. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
      • Wachtwoorden werden niet beïnvloed voor gebruikers die via Single Sign-On (SSO) toegang hebben tot onze clouddiensten.
      • Het onderzoek wees verder op beperkte activiteiten van de onbevoegde derde partij op een oude locatie voor clouddiensten, met gevolgen voor minder dan 0.0073% van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de onbevoegde derde specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.

      Toen Nitro van dit incident hoorde, heeft het bedrijf alle gebruikers geforceerd een nieuw wachtwoord gegeven om de klantenaccounts verder te beveiligen. Daarnaast zijn er algemene richtlijnen om een goede cyberhygiëne te handhaven:

      • Wijzig regelmatig de wachtwoorden voor online rekeningen, gebruik een apart wachtwoord voor internetbankieren en gebruik een wachtwoordmanager om meerdere wachtwoorden te onthouden.
      • E-mail nooit wachtwoorden voor online accounts en controleer of online accounts veilig zijn door naarhttps://haveibeenpwned.com/ te gaan.
      • Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date anti-virussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt voor toegang tot online accounts.

      Sinds het incident heeft het IT-beveiligingsteam van Nitro nauw samengewerkt met externe cyberbeveiligingsdeskundigen om de beveiliging van alle systemen te verbeteren, waaronder verbeterde logging-, detectie- en waarschuwingsdiensten in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen. De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadaardige activiteiten meer gezien.

      Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus, en wij staan klaar om onze klanten op alle mogelijke manieren te ondersteunen. Wij raden iedereen die vragen heeft aan om contact op te nemen metincident@gonitro.com.

    • Laatst bijgewerkt: 9/17/2020
      Oorspronkelijk gepubliceerd: 9/1/2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.19 en eerderObject stream parsing integer overflow
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een kruisverwijzingstabel die kan leiden tot een out of bounds-fout die geheugencorruptie veroorzaakt.
      CVE-2020-6113OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.22 en eerderapp.launchURL JavaScript-commando-injectie
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.
      CVE-2020-25290OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 9/1/2020
      Oorspronkelijk gepubliceerd: 9/1/2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      Nitro Pro v 13.22.0.414 en eerderXRefTable Entry Missing Object - Gebruik na gratis
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen, misvormd PDF-document die kan leiden tot een use-after-free conditie.
      CVE-2020-6115OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.22.0.414 en eerderIndexed ColorSpace Rendering - Buffer Overflow
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een geïndexeerde kleurruimte die kan leiden tot een bufferoverloop die geheugencorruptie veroorzaakt.
      CVE-2020-6116OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.22.0.414 en eerderOp ICCB gebaseerde kleurruimte rendering - Bufferoverloop
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een ICCB-gebaseerde kleurruimte die kan leiden tot een bufferoverloop die geheugencorruptie veroorzaakt.
      CVE-2020-6146OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      Nitro Pro v 13.22.0.414 en eerderapp.launchURL JavaScript-commando-injectie
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.
      GeenOpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 8/2/2020
      Oorspronkelijk gepubliceerd: 8/2/2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing

      Nitro Pro v 12.16.3.574 en eerder

      Nitro Sign wordt niet beïnvloed

      Digitale handtekening "schaduwaanvallen"
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen, digitaal ondertekend PDF-document waardoor eerder verborgen tekst kan verschijnen wanneer het document na ondertekening wordt gewijzigd.
      Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig document openen dat vooraf door een vertrouwde ondertekenaar is opgesteld.
      GeenOpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 5/8/2020
      Oorspronkelijk gepubliceerd: 5/8/2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVEStatusOplossing
      13.9.1.155 en eerderJavaScript XML-foutafhandeling - Toegang tot niet-geïnitialiseerde pointer
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document die niet-geïnitialiseerde geheugentoegang kan veroorzaken, wat kan leiden tot mogelijke openbaarmaking van informatie. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE-2020-6093OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      13.9.1.155 en eerderPDF geneste pagina's - Gebruik na gratis
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen kwaadaardig PDF-document die kan leiden tot out-of-bounds schrijftoegang met de mogelijkheid om het geheugen te beschadigen. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE-2020-6074OpgelostUpgrade naar de nieuwste versie van Nitro Pro
      13.13.2.242 en eerderPDF-patroonobject - Integer Overflow of Wraparound
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen kwaadaardig PDF-document die kan leiden tot out-of-bounds schrijftoegang met de mogelijkheid om het geheugen te beschadigen. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.
      CVE-2020-6092OpgelostUpgrade naar de nieuwste versie van Nitro Pro
    • Laatst bijgewerkt: 3/9/2020
      Oorspronkelijk gepubliceerd: 3/9/2020

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      13.9 en voorafgaandeHeap corruptie npdf.dlll
      Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
      kwaadaardig PDF-document, die kan leiden tot een kwetsbaarheid voor heap-corruptie
      met de mogelijkheid om de inhoud van het geheugen bloot te leggen.
      CVE-2020-10222
      13.9 en voorafgaandeHeapcorruptie JBIG2DecodeStream
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document, die kan leiden tot een kwetsbaarheid voor heapcorruptie
      , waarbij de inhoud van het geheugen kan worden blootgelegd.
      CVE-2020-10223

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      13.13.2.242Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Laatst bijgewerkt: 1/9/2020
      Oorspronkelijk gepubliceerd: 10/31/2019

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      13.6 en voorafgaandeHeapcorruptie JPEG2000 ssizDepth
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot heapcorruptie
      en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
      is niet bewezen, maar is mogelijk.
      CVE-2019-5045
      13.6 en voorafgaandeHeapcorruptie JPEG2000 yTsiz
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot heapcorruptie
      en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
      is niet bewezen, maar is mogelijk.
      CVE-2019-5046
      13.6 en voorafgaandeUse After Free CharProcs
      Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
      kwaadaardig PDF-document, wat kan leiden tot een use-after-free
      -conditie en het vastlopen van de toepassing.
      CVE-2019-5047
      13.6 en voorafgaandeHeapcorruptie ICCB-gebaseerde kleurruimte
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot heapcorruptie
      en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
      is niet bewezen, maar is mogelijk.
      CVE-2019-5048
      13.6 en voorafgaandeHeapcorruptie Page Kids
      Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
      kwaadaardig PDF-document die kan leiden tot heapcorruptie
      en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
      is niet bewezen, maar is mogelijk.
      CVE-2019-5050
      13.8 en voorafgaandeUse After Free Stream Length
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot een use-after-free
      conditie en het vastlopen van de toepassing.
      CVE-2019-5053

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      13.9.1.155Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Laatst bijgewerkt: 12/20/2019
      Oorspronkelijk gepubliceerd: 12/20/2019

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      12.0.0.112 en voorafgaandeJBIG2Decode Out-of-Bounds Read Vulnerability
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot een out-of-bounds
      leeskwetsbaarheid en het vastlopen van de toepassing.
      CVE-2019-19817
      12.0.0.112 en voorafgaandeJBIG2Decode Out-of-Bounds Read Vulnerability
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot een out-of-bounds
      leeskwetsbaarheid en het vastlopen van de toepassing.
      CVE-2019-19818
      12.0.0.112 en voorafgaandeJBIG2Globals Null Pointer Deference Vulnerability
      Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
      kwaadaardig PDF-document die kan leiden tot een null pointer
      deference kwetsbaarheid en het vastlopen van de toepassing.
      CVE-2019-19819
      12.17.0.584 en voorafgaandeTijdelijk debug.log-bestand
      In bepaalde omstandigheden (bv. een verlopen proefversie) wordt een tijdelijk
      bestand "debug.log" kan worden aangemaakt in de Nitro Pro werkmap
      . Dit debug.log-bestand kan worden gemanipuleerd nadat
      de toepassing op de normale manier is afgesloten.
      CVE-2019-19858

      Oplossing

      Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      13.8.2.140Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Laatst bijgewerkt: 10/18/2019
      Oorspronkelijk gepubliceerd: 10/18/2019

      Update

      Nitro werkt actief aan een aantal onlangs gepubliceerde potentiële kwetsbaarheden. Toen wij op het bestaan ervan werden gewezen, hebben wij de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van uitbuiting beoordeeld en (op basis van onze bestaande proactieve procedures voor het analyseren en afhandelen van kwetsbaarheden) de kwetsbaarheden in onze herstelwachtrij geplaatst.

      Wij nemen deze kwetsbaarheden serieus en zullen ze in een volgende update verhelpen. Voor meer informatie kunt u contact opnemen met security@gonitro.com.

    • Laatst bijgewerkt: 11/17/2017
      Oorspronkelijk gepubliceerd: 11/17/2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      11.0.6 en voorafgaande
      10.5.9.14 en voorafgaande
      In de functie Doc.SaveAs bestaat een kwetsbaarheid die
      kan worden uitgebuit door een speciaal ontworpen PDF-bestand,
      die mogelijk leidt tot een File Write buiten
      van het bedoelde pad.
      CVE-2017-7442
      11.0.6 en voorafgaande
      10.5.9.14 en voorafgaande
      Er bestaat een kwetsbaarheid in de functie Doc.SaveAs die
      kan worden uitgebuit door een speciaal ontworpen PDF-bestand,
      die mogelijk kan leiden tot een URL-lancering in
      in combinatie met een beveiligingswaarschuwing.
      CVE-2017-7442

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      11.0.8.470Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier
      10Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Laatst bijgewerkt: 9/27/2017
      Oorspronkelijk gepubliceerd: 9/27/2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      11.0.5.271 en voorafgaand
      10.5.9.14 en voorafgaand
      Een kwetsbaarheid voor het schrijven van geheugen die mogelijk kan worden uitgebuit op
      bij het openen van een speciaal ontworpen PDF-bestand, met
      een specifiek graafveld, wat leidt tot geheugencorruptie en
      een crash. 
      CVE in behandeling
      11.0.5.271 en voorafgaand
      10.5.9.14 en voorafgaand
      Er bestaat een use-after-free kwetsbaarheid die mogelijk
      kan worden uitgebuit bij het openen van een speciaal ontworpen PDF-bestand
      dat een misvormde JPEG2000-afbeelding bevat, wat leidt tot
      geheugencorruptie en een crash.
      CVE in behandeling

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      11.0.8.470Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier
      10Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Oorspronkelijk gepubliceerd: 7/21/2017

      Laatst bijgewerkt: 8/25/2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      11.0.3.173 en voorafgaand
      10.5.9.14 en voorafgaand
      Een out of bound memory write kwetsbaarheid die
      mogelijk kan worden uitgebuit bij het openen van een speciaal ontworpen
      PDF-bestand, wat leidt tot geheugencorruptie en een crash.
      CVE-2017-2796
      11.0.3.173 en voorafgaand
      10.5.9.14 en voorafgaand
      Een heap overflow kwetsbaarheid die mogelijk kan worden uitgebuit op
      bij het openen van een speciaal ontworpen PCX image
      bestand, wat leidt tot geheugencorruptie en een crash.
      CVE-2017-7950

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      11.0.8.470Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier
      10Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Oorspronkelijk gepubliceerd: 2/3/2017

      Laatst bijgewerkt: 8/25/2017

      Update

      Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

      Betreffende versiesKwetsbaarheidCVE
      11.0.3.134 en voorafgaand
      10.5.9.9 en voorafgaand
      Een speciaal ontworpen PDF-bestand kan mogelijk
      geheugencorruptie veroorzaken, wat leidt tot een crash.
      CVE-2016-8709
      CVE-2016-8713
      11.0.3.134 en voorafgaand
      10.5.9.9 en voorafgaand
      Een potentieel kwetsbaar punt voor het uitvoeren van code op afstand in de
      PDF parsing functionaliteit van Nitro Pro.
      CVE-2016-8711

      Oplossing

      Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

      Bijgewerkte versieBeschikbaarheid
      11.0.8.470Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier
      10.5.9.14+Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

    • Nitro Security Vulnerability & Bug Bounty Beleid

      Beleid

      Nitro is er trots op dat er in het verleden weinig Product Updates nodig waren voor beveiligingsproblemen. De veiligheid en beveiliging van gebruikersinformatie is voor ons bij Nitro een topprioriteit en een belangrijke bedrijfswaarde. Wij verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.

      Beloningen

      Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde rapporten over kwetsbaarheden. Onze minimale beloning is een $25 USD Amazon gift card. Beloningsbedragen kunnen variëren afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Vergeet niet dat dit geen wedstrijd of competitie is. Wij behouden ons het recht voor het bedrag en zelfs de toekenning van een beloning te bepalen.

      Toepassingen in toepassingsgebied

      Nitro Pro, Nitro Sign en Nitro Admin toepassingen komen in aanmerking voor het premieprogramma. Daarnaast komen ook applicaties van partnerplatforms in de cloud in aanmerking (bijv. Nitro File Actions). Wij kunnen nog steeds alles met een aanzienlijke impact op onze gehele beveiliging belonen, dus wij moedigen u aan dergelijke kwetsbaarheden via dit programma te melden.

      Rapportage van beveiligingskwetsbaarheden &

      Alle beveiligingsproblemen van Nitro moeten per e-mail worden gemeld aan het Nitro Security Team op security@gonitro.com. Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de veiligheid van gebruikers te vergroten, vragen wij u:

      • Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de toepassing, de betrokken versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de werkelijke en potentiële impact van de kwetsbaarheid en details over hoe de kwetsbaarheid zou kunnen worden uitgebuit;
      • Voeg een proof-of-concept bestand toe;
      • Respecteer onze bestaande toepassingen. Het spammen van formulieren via automatische kwetsbaarheidsscanners zal niet resulteren in een bounty beloning omdat deze expliciet buiten het toepassingsgebied vallen;
      • Geef ons een redelijke termijn om op de kwestie te reageren voordat u informatie hierover openbaar maakt;
      • Onze gegevens of die van onze gebruikers niet openen of wijzigen zonder uitdrukkelijke toestemming van de eigenaar. Communiceer alleen met uw eigen accounts of testaccounts voor veiligheidsonderzoek;
      • Neem onmiddellijk contact met ons op als u per ongeluk gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, overdragen of op andere wijze benaderen, en onmiddellijk alle lokale informatie wissen nadat de kwetsbaarheid aan Nitro is gemeld;
      • Te goeder trouw handelen om schending van de privacy, vernietiging van gegevens en onderbreking of verslechtering van onze diensten (met inbegrip van denial of service) te voorkomen; en
      • Voldoe anders aan alle toepasselijke wetten.

      Wij belonen alleen de eerste melder van een kwetsbaarheid. Openbaarmaking van de kwetsbaarheid voordat deze is opgelost, kan een lopende beloning doen vervallen. Wij behouden ons het recht voor om personen van het programma te diskwalificeren wegens respectloos of storend gedrag.

      Wij zullen niet onderhandelen als reactie op dwang of bedreigingen (wij zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder bedreiging van het achterhouden van de kwetsbaarheid of onder bedreiging van het vrijgeven van de kwetsbaarheid of blootgestelde gegevens aan het publiek).

      Beveiligingskwetsbaarheidsproces:

      (1) Nitro zal elke gemelde kwetsbaarheid volgens bovenstaande instructies bevestigen en beoordelen, gewoonlijk binnen 7 dagen.

      (2) Wanneer een kwetsbaarheid is bevestigd, zal Nitro een risicoanalyse uitvoeren met behulp van het Common Vulnerability Scoring System (CVSS v3) en de meest geschikte reactie voor Nitro-klanten bepalen.

      • Kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een hoog risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal kritieke beveiligingsproblemen oplossen met een Product Update voor de huidige en vorige versie van Nitro Pro en alle cloudservices, volgens het Product Updates & Sunset Policy.
      • Niet-kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een laag tot matig risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingskwetsbaarheden oplossen met een productupdate voor de huidige release van alleen Nitro Pro, en alle cloudservices volgens het beleid voor productupdates & Sunset.

      (3) Nitro ontwerpt en implementeert & test een oplossing voor alle kritieke veiligheidslekken en levert een productupdate aan klanten, gewoonlijk binnen 90 dagen.

      (4) Nitro zal op deze Nitro Security Updates-pagina alle kritieke beveiligingsproblemen, de betreffende versies en relevante details van productupdates die de problemen verhelpen, openbaar maken. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.

      Kwetsbaarheden in de beveiliging buiten de scope

      De volgende zaken vallen buiten het bereik van dit beleid & beloningsprogramma:

      • Aanvallen waarvoor fysieke toegang tot het apparaat van een gebruiker nodig is.
      • Ontbrekende security headers die niet direct tot een kwetsbaarheid leiden.
      • Ontbrekende best practices (wij eisen bewijs van een beveiligingslek).
      • Gebruik van een bekende kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
      • Social engineering van werknemers of contractanten van Nitro.
      • Meldingen van onveilige SSL/TLS-codes (tenzij u een werkend proof of concept hebt, en niet alleen een melding van een scanner).
      • Content spoofing en pure text injection kwetsbaarheden (waarbij u alleen tekst of een afbeelding in een pagina kunt injecteren). Wij accepteren en verhelpen een spoofing-kwetsbaarheid waarbij de aanvaller een afbeelding of rijke tekst (HTML) kan injecteren, maar dit komt niet in aanmerking voor een premie.
      • Nitro diensten, tenzij u in staat bent om privé IP's of Nitro servers te raken.

      Gevolgen van de naleving van dit beleid

      Wij zullen geen civiele actie ondernemen of een klacht indienen bij de rechtshandhaving voor toevallige schendingen te goeder trouw van dit beleid. Wij beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor aanvaardbaar gebruik, zien wij af van deze beperkingen voor het beperkte doel om veiligheidsonderzoek onder dit beleid toe te staan. Wij zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die wij hebben gebruikt om de toepassingen in het toepassingsgebied te beschermen.

      Als er door een derde partij gerechtelijke stappen tegen u worden ondernomen en u heeft zich gehouden aan Nitro's beleid inzake veiligheidslekken & Bug Bounty, dan zal Nitro stappen ondernemen om bekend te maken dat uw acties in overeenstemming met dit beleid zijn uitgevoerd.

      Gelieve een rapport aan ons voor te leggen voordat u zich inlaat met gedrag dat in strijd is met of niet wordt behandeld door dit beleid.

      De kleine lettertjes

      U bent verantwoordelijk voor de betaling van eventuele belastingen in verband met beloningen. Wij kunnen de voorwaarden van dit programma wijzigen of dit programma te allen tijde beëindigen. Wij zullen wijzigingen die wij in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die wij wettelijk niet mogen betalen, komen niet in aanmerking voor beloningen. Werknemers van Nitro en hun gezinsleden komen niet in aanmerking voor beloningen.

      Om de invoering van bug bounty-programma's aan te moedigen en uniforme beste praktijken op het gebied van beveiliging in de branche te bevorderen, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en staat het u dus vrij dit voor uw eigen doeleinden te kopiëren en aan te passen.

      Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.