Nitro PDF Pro voor Windows
-
Laatst bijgewerkt: 12/5/2024
Oorspronkelijk gepubliceerd: 12/5/2023Update
Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Betrokken versie(s) Kwetsbaarheid CVE Status Oplossing Erkenning Nitro PDF Pro voor Windows 14.32 en eerder
Escalatie van lokale bevoegdheden N.V.T. Opgelost Upgrade naar 14.34.1.0 N.V.T. -
Laatst bijgewerkt: 09/25/2024
Oorspronkelijk gepubliceerd: 07/25/2023Update
Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Betrokken versie(s) Kwetsbaarheid CVE Status Oplossing Erkenning Nitro PDF Pro voor Windows 13.70.7.60 en eerder
Nitro PDF Pro voor Windows 14.18.1.41 en eerder
Er is een beveiligingslek geïdentificeerd in het MSI-installatieprogramma, waardoor escalatie van lokale bevoegdheden mogelijk is. CVE-2024-35288 Opgelost Upgrade naar versie 13.70.8.82+
Upgrade naar versie 14.26.0+
Sandro Einfeldt en Michael Baer, SEC Consult Vulnerability Lab Nitro Pro- 13.70.7.60 en eerder
Nitro Pro- 14.18.1.41 en eerder
Een beveiligingslek in de gegevensverwerking voor XFA-documenten kan ertoe leiden dat een bestand op een willekeurige locatie in het bestandssysteem van de gebruiker wordt opgeslagen. CVE-2024-44079 Opgelost Upgrade naar versie 13.70.8.82+
Upgrade naar versie 14.27.0+
Jörn Henkel -
Laatst bijgewerkt: 07/28/2023
Oorspronkelijk gepubliceerd: 07/25/2023Update
Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro- 13.70.4.50 en eerder
Nitro Pro v14.1.2.47 – 14.5.0.11
Een beveiligingslek in Artifex Ghostscript
Er is een beveiligingslek vastgesteld in Artifex Ghostscript, dat wordt gebruikt voor het weergeven en converteren van bestanden
CVE-2023-36664 Opgelost Upgrade naar v13.70.7.60
Upgrade naar v14.7.1.21 of hoger
-
Laatst bijgewerkt: 03/16/2023
Oorspronkelijk gepubliceerd: 03/16/2023Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.70.2 en eerder Een beveiligingsprobleem in de Zlib-versie, een bibliotheek voor gegevenscompressie die wordt gebruikt door Nitro PDF Pro
Er is een beveiligingslek ontdekt in de Zlib-versie, een datacompressiebibliotheek die wordt gebruikt door Nitro PDF Pro.
CVE-2022-37434 Opgelost Upgrade naar de nieuwste versie van Nitro PDF Pro Nitro Pro v 13.70.2 en eerder OpenSSL-kwetsbaarheid - Toegang tot bron met incompatibel type ('Type Confusion')
OpenSSL-kwetsbaarheid - Toegang tot bronnen met incompatibel type ('Type Confusion') Deze kwetsbaarheid is verholpen door te upgraden naar OpenSSL 1 . 1 . 1 t.
CVE-2023-0286 Opgelost Upgrade naar de nieuwste versie van Nitro PDF Pro -
Laatst bijgewerkt: 12/7/2022
Oorspronkelijk gepubliceerd: 12/7/2022Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.70.0 en eerder Uitvoering van willekeurige commando's binnen de toepassing
Er bestaat een kwetsbaarheid waarbij de toepassing speciaal ontworpen PDF-documenten toestaat om willekeurige opdrachten uit te voeren binnen de toepassing.
CVE-2022-46406 Opgelost Upgrade naar de nieuwste versie van Nitro PDF Pro -
Laatst bijgewerkt: 10/25/2021
Oorspronkelijk gepubliceerd: 10/25/2021Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.49 en eerder JavaScript local_file_path Object use-after-free kwetsbaarheid
Een speciaal ontworpen document kan ervoor zorgen dat een object met het pad naar een document wordt vernietigd en later opnieuw wordt gebruikt, wat resulteert in een use-after-free kwetsbaarheid, die kan leiden tot het uitvoeren van code binnen de context van de toepassing. Een aanvaller kan een gebruiker ervan overtuigen een document te openen om deze kwetsbaarheid te activeren.
CVE-2021-21796 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.49 en eerder JavaScript TimeOutObject dubbele vrije kwetsbaarheid
Een speciaal ontworpen document kan ervoor zorgen dat een verwijzing naar een time-outobject op twee verschillende plaatsen wordt opgeslagen. Wanneer het document wordt gesloten, wordt de referentie tweemaal vrijgegeven. Dit kan leiden tot het uitvoeren van code onder de context van de toepassing. Een aanvaller kan een gebruiker ervan overtuigen een document te openen om deze kwetsbaarheid te activeren.
CVE-2021-21797 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 9/10/2021
Oorspronkelijk gepubliceerd: 9/10/2021Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.47 en eerder Log4net parsing kwetsbaarheid
Apache log4net versies voor 2.0.10 schakel externe XML-entiteiten niet uit bij het parsen van log4net-configuratiebestanden. Dit maakt op XXE gebaseerde aanvallen mogelijk in toepassingen die door aanvallers gecontroleerde log4net-configuratiebestanden accepteren.Belangrijk: Om deze fix toe te passen, moet u upgraden naar de iManage Desktop applicatie van versie 10.5 of nieuwer. Om te voorkomen dat documenten alleen-lezen worden, moet u ervoor zorgen dat alle documenten die op dezelfde machine zijn geopend, worden gesloten en INGEKEKEND.
CVE-2018-1285 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.47 en eerder JavaScript document.flattenPages
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot het uitvoeren van code onder de context van de toepassing.CVE-2021-21798 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Update beveiligingsincidenten
Op 30 september 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang had tot Nitro-databases.
Toen Nitro van dit incident hoorde, nam het onmiddellijk maatregelen om ervoor te zorgen dat de Nitro-omgeving veilig was en startte het een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu afgerond en Nitro kan verdere details verstrekken:
- Het incident betrof de toegang tot specifieke databases van Nitro, die bepaalde onlinediensten ondersteunen en voornamelijk werden gebruikt voor de opslag van informatie in verband met de gratis onlineproducten van Nitro.
- Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of klant van Nitro te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarop de geconverteerde bestanden worden afgeleverd.
- Er was geen impact op Nitro Pro of Nitro Analytics.
- Tot de blootgelegde gebruikersgegevens behoorden e-mailadressen van gebruikers, volledige namen, sterk beveiligde gehashte en gezouten wachtwoorden en metadata van documenten in verband met de online diensten van Nitro. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
- Wachtwoorden werden niet beïnvloed voor gebruikers die via Single Sign-On (SSO) toegang hebben tot onze clouddiensten.
- Het onderzoek wees verder op beperkte activiteiten van de onbevoegde derde partij op een oude locatie voor clouddiensten, met gevolgen voor minder dan 0.0073% van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de onbevoegde derde specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.
Toen Nitro van dit incident hoorde, heeft het bedrijf alle gebruikers geforceerd een nieuw wachtwoord gegeven om de klantenaccounts verder te beveiligen. Daarnaast zijn er algemene richtlijnen om een goede cyberhygiëne te handhaven:
- Wijzig regelmatig de wachtwoorden voor online rekeningen, gebruik een apart wachtwoord voor internetbankieren en gebruik een wachtwoordmanager om meerdere wachtwoorden te onthouden.
- E-mail nooit wachtwoorden voor online accounts en controleer of online accounts veilig zijn door naarhttps://haveibeenpwned.com/ te gaan.
- Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date anti-virussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt voor toegang tot online accounts.
Sinds het incident heeft het IT-beveiligingsteam van Nitro nauw samengewerkt met externe cyberbeveiligingsdeskundigen om de beveiliging van alle systemen te verbeteren, waaronder verbeterde logging-, detectie- en waarschuwingsdiensten in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen. De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadaardige activiteiten meer gezien.
Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus, en wij staan klaar om onze klanten op alle mogelijke manieren te ondersteunen. Wij raden iedereen die vragen heeft aan om contact op te nemen metincident@gonitro.com.
-
Laatst bijgewerkt: 9/17/2020
Oorspronkelijk gepubliceerd: 9/1/2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.19 en eerder Object stream parsing integer overflow
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een kruisverwijzingstabel die kan leiden tot een out of bounds-fout die geheugencorruptie veroorzaakt.CVE-2020-6113 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.22 en eerder app.launchURL JavaScript-commando-injectie
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.CVE-2020-25290 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 9/1/2020
Oorspronkelijk gepubliceerd: 9/1/2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 13.22.0.414 en eerder XRefTable Entry Missing Object - Gebruik na gratis
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen, misvormd PDF-document die kan leiden tot een use-after-free conditie.CVE-2020-6115 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.22.0.414 en eerder Indexed ColorSpace Rendering - Buffer Overflow
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een geïndexeerde kleurruimte die kan leiden tot een bufferoverloop die geheugencorruptie veroorzaakt.CVE-2020-6116 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.22.0.414 en eerder Op ICCB gebaseerde kleurruimte rendering - Bufferoverloop
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document met een ICCB-gebaseerde kleurruimte die kan leiden tot een bufferoverloop die geheugencorruptie veroorzaakt.CVE-2020-6146 Opgelost Upgrade naar de nieuwste versie van Nitro Pro Nitro Pro v 13.22.0.414 en eerder app.launchURL JavaScript-commando-injectie
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document dat JavaScript bevat, wat kan leiden tot opdrachtinjectie.Geen Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 8/2/2020
Oorspronkelijk gepubliceerd: 8/2/2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing Nitro Pro v 12.16.3.574 en eerder
Nitro Sign wordt niet beïnvloed
Digitale handtekening "schaduwaanvallen"
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen, digitaal ondertekend PDF-document waardoor eerder verborgen tekst kan verschijnen wanneer het document na ondertekening wordt gewijzigd.
Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig document openen dat vooraf door een vertrouwde ondertekenaar is opgesteld.Geen Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 5/8/2020
Oorspronkelijk gepubliceerd: 5/8/2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE Status Oplossing 13.9.1.155 en eerder JavaScript XML-foutafhandeling - Toegang tot niet-geïnitialiseerde pointer
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen PDF-document die niet-geïnitialiseerde geheugentoegang kan veroorzaken, wat kan leiden tot mogelijke openbaarmaking van informatie. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.CVE-2020-6093 Opgelost Upgrade naar de nieuwste versie van Nitro Pro 13.9.1.155 en eerder PDF geneste pagina's - Gebruik na gratis
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen kwaadaardig PDF-document die kan leiden tot out-of-bounds schrijftoegang met de mogelijkheid om het geheugen te beschadigen. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.CVE-2020-6074 Opgelost Upgrade naar de nieuwste versie van Nitro Pro 13.13.2.242 en eerder PDF-patroonobject - Integer Overflow of Wraparound
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen kwaadaardig PDF-document die kan leiden tot out-of-bounds schrijftoegang met de mogelijkheid om het geheugen te beschadigen. Om deze kwetsbaarheid te activeren, moet het doelwit een kwaadaardig bestand openen.CVE-2020-6092 Opgelost Upgrade naar de nieuwste versie van Nitro Pro -
Laatst bijgewerkt: 3/9/2020
Oorspronkelijk gepubliceerd: 3/9/2020Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 13.9 en voorafgaande Heap corruptie npdf.dlll
Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
kwaadaardig PDF-document, die kan leiden tot een kwetsbaarheid voor heap-corruptie
met de mogelijkheid om de inhoud van het geheugen bloot te leggen.CVE-2020-10222 13.9 en voorafgaande Heapcorruptie JBIG2DecodeStream
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document, die kan leiden tot een kwetsbaarheid voor heapcorruptie
, waarbij de inhoud van het geheugen kan worden blootgelegd.CVE-2020-10223 Oplossing
Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 13.13.2.242 Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Laatst bijgewerkt: 1/9/2020
Oorspronkelijk gepubliceerd: 10/31/2019Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 13.6 en voorafgaande Heapcorruptie JPEG2000 ssizDepth
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot heapcorruptie
en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
is niet bewezen, maar is mogelijk.CVE-2019-5045 13.6 en voorafgaande Heapcorruptie JPEG2000 yTsiz
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot heapcorruptie
en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
is niet bewezen, maar is mogelijk.CVE-2019-5046 13.6 en voorafgaande Use After Free CharProcs
Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
kwaadaardig PDF-document, wat kan leiden tot een use-after-free
-conditie en het vastlopen van de toepassing.CVE-2019-5047 13.6 en voorafgaande Heapcorruptie ICCB-gebaseerde kleurruimte
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot heapcorruptie
en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
is niet bewezen, maar is mogelijk.CVE-2019-5048 13.6 en voorafgaande Heapcorruptie Page Kids
Er bestaat een kwetsbaarheid bij het openen van een speciaal gemaakt
kwaadaardig PDF-document die kan leiden tot heapcorruptie
en het vastlopen van de toepassing. Arbitraire uitvoering van code op afstand
is niet bewezen, maar is mogelijk.CVE-2019-5050 13.8 en voorafgaande Use After Free Stream Length
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot een use-after-free
conditie en het vastlopen van de toepassing.CVE-2019-5053 Oplossing
Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 13.9.1.155 Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Laatst bijgewerkt: 12/20/2019
Oorspronkelijk gepubliceerd: 12/20/2019Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 12.0.0.112 en voorafgaande JBIG2Decode Out-of-Bounds Read Vulnerability
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot een out-of-bounds
leeskwetsbaarheid en het vastlopen van de toepassing.CVE-2019-19817 12.0.0.112 en voorafgaande JBIG2Decode Out-of-Bounds Read Vulnerability
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot een out-of-bounds
leeskwetsbaarheid en het vastlopen van de toepassing.CVE-2019-19818 12.0.0.112 en voorafgaande JBIG2Globals Null Pointer Deference Vulnerability
Er bestaat een kwetsbaarheid bij het openen van een speciaal ontworpen
kwaadaardig PDF-document die kan leiden tot een null pointer
deference kwetsbaarheid en het vastlopen van de toepassing.CVE-2019-19819 12.17.0.584 en voorafgaande Tijdelijk debug.log-bestand
In bepaalde omstandigheden (bv. een verlopen proefversie) wordt een tijdelijk
bestand "debug.log" kan worden aangemaakt in de Nitro Pro werkmap
. Dit debug.log-bestand kan worden gemanipuleerd nadat
de toepassing op de normale manier is afgesloten.CVE-2019-19858 Oplossing
Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 13.8.2.140 Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Laatst bijgewerkt: 10/18/2019
Oorspronkelijk gepubliceerd: 10/18/2019Update
Nitro werkt actief aan een aantal onlangs gepubliceerde potentiële kwetsbaarheden. Toen wij op het bestaan ervan werden gewezen, hebben wij de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van uitbuiting beoordeeld en (op basis van onze bestaande proactieve procedures voor het analyseren en afhandelen van kwetsbaarheden) de kwetsbaarheden in onze herstelwachtrij geplaatst.
Wij nemen deze kwetsbaarheden serieus en zullen ze in een volgende update verhelpen. Voor meer informatie kunt u contact opnemen met security@gonitro.com.
-
Laatst bijgewerkt: 11/17/2017
Oorspronkelijk gepubliceerd: 11/17/2017Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 11.0.6 en voorafgaande
10.5.9.14 en voorafgaandeIn de functie Doc.SaveAs bestaat een kwetsbaarheid die
kan worden uitgebuit door een speciaal ontworpen PDF-bestand,
die mogelijk leidt tot een File Write buiten
van het bedoelde pad.CVE-2017-7442 11.0.6 en voorafgaande
10.5.9.14 en voorafgaandeEr bestaat een kwetsbaarheid in de functie Doc.SaveAs die
kan worden uitgebuit door een speciaal ontworpen PDF-bestand,
die mogelijk kan leiden tot een URL-lancering in
in combinatie met een beveiligingswaarschuwing.CVE-2017-7442 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 11.0.8.470 Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier 10 Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Laatst bijgewerkt: 9/27/2017
Oorspronkelijk gepubliceerd: 9/27/2017Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 11.0.5.271 en voorafgaand
10.5.9.14 en voorafgaandEen kwetsbaarheid voor het schrijven van geheugen die mogelijk kan worden uitgebuit op
bij het openen van een speciaal ontworpen PDF-bestand, met
een specifiek graafveld, wat leidt tot geheugencorruptie en
een crash.CVE in behandeling 11.0.5.271 en voorafgaand
10.5.9.14 en voorafgaandEr bestaat een use-after-free kwetsbaarheid die mogelijk
kan worden uitgebuit bij het openen van een speciaal ontworpen PDF-bestand
dat een misvormde JPEG2000-afbeelding bevat, wat leidt tot
geheugencorruptie en een crash.CVE in behandeling Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 11.0.8.470 Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier 10 Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Oorspronkelijk gepubliceerd: 7/21/2017
Laatst bijgewerkt: 8/25/2017
Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 11.0.3.173 en voorafgaand
10.5.9.14 en voorafgaandEen out of bound memory write kwetsbaarheid die
mogelijk kan worden uitgebuit bij het openen van een speciaal ontworpen
PDF-bestand, wat leidt tot geheugencorruptie en een crash.CVE-2017-2796 11.0.3.173 en voorafgaand
10.5.9.14 en voorafgaandEen heap overflow kwetsbaarheid die mogelijk kan worden uitgebuit op
bij het openen van een speciaal ontworpen PCX image
bestand, wat leidt tot geheugencorruptie en een crash.CVE-2017-7950 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 11.0.8.470 Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier 10 Nitro is niet in staat deze kwetsbaarheid in Nitro Pro 13 te verhelpen. Gelieve te upgraden naar de laatste versie van Nitro Pro 11 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Oorspronkelijk gepubliceerd: 2/3/2017
Laatst bijgewerkt: 8/25/2017
Update
Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.
Betreffende versies Kwetsbaarheid CVE 11.0.3.134 en voorafgaand
10.5.9.9 en voorafgaandEen speciaal ontworpen PDF-bestand kan mogelijk
geheugencorruptie veroorzaken, wat leidt tot een crash.CVE-2016-8709
CVE-2016-871311.0.3.134 en voorafgaand
10.5.9.9 en voorafgaandEen potentieel kwetsbaar punt voor het uitvoeren van code op afstand in de
PDF parsing functionaliteit van Nitro Pro.CVE-2016-8711 Oplossing
Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.
Bijgewerkte versie Beschikbaarheid 11.0.8.470 Gelieve te updaten naar de laatste versie van Nitro Pro 11 beschikbaar hier 10.5.9.14+ Gelieve te updaten naar de laatste versie van Nitro Pro 13 beschikbaar hier Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.
-
Nitro Security Vulnerability & Bug Bounty Beleid
Beleid
Nitro is er trots op dat er in het verleden weinig Product Updates nodig waren voor beveiligingsproblemen. De veiligheid en beveiliging van gebruikersinformatie is voor ons bij Nitro een topprioriteit en een belangrijke bedrijfswaarde. Wij verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.
Beloningen
Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde rapporten over kwetsbaarheden. Onze minimale beloning is een $25 USD Amazon gift card. Beloningsbedragen kunnen variëren afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Vergeet niet dat dit geen wedstrijd of competitie is. Wij behouden ons het recht voor het bedrag en zelfs de toekenning van een beloning te bepalen.
Toepassingen in toepassingsgebied
Nitro Pro, Nitro Sign en Nitro Admin toepassingen komen in aanmerking voor het premieprogramma. Daarnaast komen ook applicaties van partnerplatforms in de cloud in aanmerking (bijv. Nitro File Actions). Wij kunnen nog steeds alles met een aanzienlijke impact op onze gehele beveiliging belonen, dus wij moedigen u aan dergelijke kwetsbaarheden via dit programma te melden.
Rapportage van beveiligingskwetsbaarheden &
Alle beveiligingsproblemen van Nitro moeten per e-mail worden gemeld aan het Nitro Security Team op security@gonitro.com. Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de veiligheid van gebruikers te vergroten, vragen wij u:
- Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de toepassing, de betrokken versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de werkelijke en potentiële impact van de kwetsbaarheid en details over hoe de kwetsbaarheid zou kunnen worden uitgebuit;
- Voeg een proof-of-concept bestand toe;
- Respecteer onze bestaande toepassingen. Het spammen van formulieren via automatische kwetsbaarheidsscanners zal niet resulteren in een bounty beloning omdat deze expliciet buiten het toepassingsgebied vallen;
- Geef ons een redelijke termijn om op de kwestie te reageren voordat u informatie hierover openbaar maakt;
- Onze gegevens of die van onze gebruikers niet openen of wijzigen zonder uitdrukkelijke toestemming van de eigenaar. Communiceer alleen met uw eigen accounts of testaccounts voor veiligheidsonderzoek;
- Neem onmiddellijk contact met ons op als u per ongeluk gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, overdragen of op andere wijze benaderen, en onmiddellijk alle lokale informatie wissen nadat de kwetsbaarheid aan Nitro is gemeld;
- Te goeder trouw handelen om schending van de privacy, vernietiging van gegevens en onderbreking of verslechtering van onze diensten (met inbegrip van denial of service) te voorkomen; en
- Voldoe anders aan alle toepasselijke wetten.
Wij belonen alleen de eerste melder van een kwetsbaarheid. Openbaarmaking van de kwetsbaarheid voordat deze is opgelost, kan een lopende beloning doen vervallen. Wij behouden ons het recht voor om personen van het programma te diskwalificeren wegens respectloos of storend gedrag.
Wij zullen niet onderhandelen als reactie op dwang of bedreigingen (wij zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder bedreiging van het achterhouden van de kwetsbaarheid of onder bedreiging van het vrijgeven van de kwetsbaarheid of blootgestelde gegevens aan het publiek).
Beveiligingskwetsbaarheidsproces:
(1) Nitro zal elke gemelde kwetsbaarheid volgens bovenstaande instructies bevestigen en beoordelen, gewoonlijk binnen 7 dagen.
(2) Wanneer een kwetsbaarheid is bevestigd, zal Nitro een risicoanalyse uitvoeren met behulp van het Common Vulnerability Scoring System (CVSS v3) en de meest geschikte reactie voor Nitro-klanten bepalen.
- Kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een hoog risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal kritieke beveiligingsproblemen oplossen met een Product Update voor de huidige en vorige versie van Nitro Pro en alle cloudservices, volgens het Product Updates & Sunset Policy.
- Niet-kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een laag tot matig risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingskwetsbaarheden oplossen met een productupdate voor de huidige release van alleen Nitro Pro, en alle cloudservices volgens het beleid voor productupdates & Sunset.
(3) Nitro ontwerpt en implementeert & test een oplossing voor alle kritieke veiligheidslekken en levert een productupdate aan klanten, gewoonlijk binnen 90 dagen.
(4) Nitro zal op deze Nitro Security Updates-pagina alle kritieke beveiligingsproblemen, de betreffende versies en relevante details van productupdates die de problemen verhelpen, openbaar maken. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.
Kwetsbaarheden in de beveiliging buiten de scope
De volgende zaken vallen buiten het bereik van dit beleid & beloningsprogramma:
- Aanvallen waarvoor fysieke toegang tot het apparaat van een gebruiker nodig is.
- Ontbrekende security headers die niet direct tot een kwetsbaarheid leiden.
- Ontbrekende best practices (wij eisen bewijs van een beveiligingslek).
- Gebruik van een bekende kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
- Social engineering van werknemers of contractanten van Nitro.
- Meldingen van onveilige SSL/TLS-codes (tenzij u een werkend proof of concept hebt, en niet alleen een melding van een scanner).
- Content spoofing en pure text injection kwetsbaarheden (waarbij u alleen tekst of een afbeelding in een pagina kunt injecteren). Wij accepteren en verhelpen een spoofing-kwetsbaarheid waarbij de aanvaller een afbeelding of rijke tekst (HTML) kan injecteren, maar dit komt niet in aanmerking voor een premie.
- Nitro diensten, tenzij u in staat bent om privé IP's of Nitro servers te raken.
Gevolgen van de naleving van dit beleid
Wij zullen geen civiele actie ondernemen of een klacht indienen bij de rechtshandhaving voor toevallige schendingen te goeder trouw van dit beleid. Wij beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor aanvaardbaar gebruik, zien wij af van deze beperkingen voor het beperkte doel om veiligheidsonderzoek onder dit beleid toe te staan. Wij zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die wij hebben gebruikt om de toepassingen in het toepassingsgebied te beschermen.
Als er door een derde partij gerechtelijke stappen tegen u worden ondernomen en u heeft zich gehouden aan Nitro's beleid inzake veiligheidslekken & Bug Bounty, dan zal Nitro stappen ondernemen om bekend te maken dat uw acties in overeenstemming met dit beleid zijn uitgevoerd.
Gelieve een rapport aan ons voor te leggen voordat u zich inlaat met gedrag dat in strijd is met of niet wordt behandeld door dit beleid.
De kleine lettertjes
U bent verantwoordelijk voor de betaling van eventuele belastingen in verband met beloningen. Wij kunnen de voorwaarden van dit programma wijzigen of dit programma te allen tijde beëindigen. Wij zullen wijzigingen die wij in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die wij wettelijk niet mogen betalen, komen niet in aanmerking voor beloningen. Werknemers van Nitro en hun gezinsleden komen niet in aanmerking voor beloningen.
Om de invoering van bug bounty-programma's aan te moedigen en uniforme beste praktijken op het gebied van beveiliging in de branche te bevorderen, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en staat het u dus vrij dit voor uw eigen doeleinden te kopiëren en aan te passen.
Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.