Sicherheitsupdates

Produktinformation

Sicherheitsupdates

- Produkt-Downloads – Windows
- Produkt-Downloads - Mac

Nitro PDF Pro für Windows

Erscheinungsdatum: 9/25/2024

Datum: 9/25/2024

Letzte Aktualisierung:09/25/2024
Ursprünglich veröffentlicht:07/25/2023

Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.

Betroffene Version(en)	Schwachstelle	CVE	Status	Lösung	Anerkennung
Nitro PDF Pro für Windows 13.70.7.60 und früher Nitro PDF Pro für Windows 14.18.1.41 und früher	Im MSI Installationsprogramm wurde eine Sicherheitslücke gefunden, die eine lokale Rechteausweitung ermöglichen könnte.	CVE2024 -35288	Gelöst	Führen Sie ein Upgrade auf Version 13durch.70.8.82+ Führen Sie ein Upgrade auf Version 14durch.26.0+	Sandro Einfeldt und Michael Baer, SEC Consult Vulnerability Lab
Nitro Pro 13.70.7.60 und früher Nitro Pro 14.18.1.41 und früher	Eine Schwachstelle in der Datenverarbeitung für XFA Dokument kann dazu führen, dass eine Datei an einem beliebigen Ort im Dateisystem des Benutzers gespeichert wird.	CVE2024 -44079	Gelöst	Führen Sie ein Upgrade auf Version 13durch.70.8.82+ Führen Sie ein Upgrade auf Version 14durch.27.0+	Jörn Henkel

Betroffene Version(en)

Schwachstelle

CVE

Status

Lösung

Anerkennung

Nitro PDF Pro für Windows 13.70.7.60 und früher

Nitro PDF Pro für Windows 14.18.1.41 und früher

Im MSI Installationsprogramm wurde eine Sicherheitslücke gefunden, die eine lokale Rechteausweitung ermöglichen könnte.

CVE2024 -35288

Gelöst

Führen Sie ein Upgrade auf Version 13durch.70.8.82+

Führen Sie ein Upgrade auf Version 14durch.26.0+

Sandro Einfeldt und Michael Baer, SEC Consult Vulnerability Lab

Nitro Pro 13.70.7.60 und früher

Nitro Pro 14.18.1.41 und früher

Eine Schwachstelle in der Datenverarbeitung für XFA Dokument kann dazu führen, dass eine Datei an einem beliebigen Ort im Dateisystem des Benutzers gespeichert wird.

CVE2024 -44079

Gelöst

Führen Sie ein Upgrade auf Version 13durch.70.8.82+

Führen Sie ein Upgrade auf Version 14durch.27.0+

Jörn Henkel

Datum: 7/28/2023

Letzte Aktualisierung:07/28/2023
Ursprünglich veröffentlicht:07/25/2023

Update

Nitro hat eine neue Version von Nitro PDF Pro veröffentlicht. Diese behebt potenzielle Sicherheitslücken.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro 13.70.4.50 und früher Nitro Pro v14.1.2.47 – 14.5.0.11	Eine Sicherheitslücke in Artifex Ghostscript In Artifex Ghostscript, das zum Rendern und Konvertieren von Dateien verwendet wird, wurde eine Sicherheitslücke festgestellt	CVE2023 -36664	Gelöst	Upgrade auf v13.70.7.60 Upgrade auf v14.7.1.21 oder höher

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro 13.70.4.50 und früher

Nitro Pro v14.1.2.47 – 14.5.0.11

Eine Sicherheitslücke in Artifex Ghostscript

In Artifex Ghostscript, das zum Rendern und Konvertieren von Dateien verwendet wird, wurde eine Sicherheitslücke festgestellt

CVE2023 -36664

Gelöst

Upgrade auf v13.70.7.60

Upgrade auf v14.7.1.21 oder höher

Datum: 03/16/2023

Letzte Aktualisierung:03/16/2023
Ursprünglich veröffentlicht:03/16/2023

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 70. 2und früher	Sicherheitslücke in der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek In der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek, wurde eine Sicherheitslücke entdeckt.	CVE2022 -37434	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.
Nitro Pro13 v. 70. 2und früher	OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“) OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“) Diese Schwachstelle wurde durch ein Upgrade auf OpenSSL 1.1.1 t behoben.	CVE2023 -0286	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro13 v. 70. 2und früher

Sicherheitslücke in der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek

In der Zlib-Version, einer von Nitro PDF Pro verwendeten Datenkomprimierungsbibliothek, wurde eine Sicherheitslücke entdeckt.

CVE2022 -37434

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.

Nitro Pro13 v. 70. 2und früher

OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“)

OpenSSL-Schwachstelle – Zugriff auf Ressource mit inkompatiblem Typ („Type Confusion“) Diese Schwachstelle wurde durch ein Upgrade auf OpenSSL 1.1.1 t behoben.

CVE2023 -0286

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.

Datum: 12/7/2022

Letzte Aktualisierung:12/7/2022
Ursprünglich veröffentlicht:12/7/2022

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 70. 0und früher	Ausführung beliebiger Befehle innerhalb der Anwendung Es besteht eine Sicherheitslücke, bei der die Anwendung es ermöglicht, dass speziell gestaltete PDF-Dokumente beliebige Befehle innerhalb der Anwendung ausführen.	CVE2022 -46406	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro13 v. 70. 0und früher

Ausführung beliebiger Befehle innerhalb der Anwendung

Es besteht eine Sicherheitslücke, bei der die Anwendung es ermöglicht, dass speziell gestaltete PDF-Dokumente beliebige Befehle innerhalb der Anwendung ausführen.

CVE2022 -46406

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro PDF Pro durch.

Datum: 10/25/2021

Letzte Aktualisierung:10/25/2021
Ursprünglich veröffentlicht:10/25/2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 49und früher	JavaScript local_file_path Sicherheitslücke nach Nutzung von Objekten Ein speziell gestaltetes Dokument kann dazu führen, dass ein Objekt, das den Pfad zu einem Dokument enthält, zerstört und später wiederverwendet wird, was zu einer Use-afterfree-Sicherheitslücke führt, die zur Ausführung von Code im Kontext der Anwendung führen kann. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.	CVE2021 -21796	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 49und früher	Doppelte kostenlose Sicherheitslücke in JavaScript TimeoutObject Ein speziell gestaltetes Dokument kann dazu führen, dass ein Verweis auf ein Timeout-Objekt an zwei verschiedenen Orten gespeichert wird. Wenn das Dokument geschlossen ist, wird die Referenz zweimal veröffentlicht. Dies kann dazu führen, dass Code im Kontext der Anwendung ausgeführt wird. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.	CVE2021 -21797	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro13 v. 49und früher

JavaScript local_file_path Sicherheitslücke nach Nutzung von Objekten

Ein speziell gestaltetes Dokument kann dazu führen, dass ein Objekt, das den Pfad zu einem Dokument enthält, zerstört und später wiederverwendet wird, was zu einer Use-afterfree-Sicherheitslücke führt, die zur Ausführung von Code im Kontext der Anwendung führen kann. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.

CVE2021 -21796

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Nitro Pro13 v. 49und früher

Doppelte kostenlose Sicherheitslücke in JavaScript TimeoutObject

Ein speziell gestaltetes Dokument kann dazu führen, dass ein Verweis auf ein Timeout-Objekt an zwei verschiedenen Orten gespeichert wird. Wenn das Dokument geschlossen ist, wird die Referenz zweimal veröffentlicht. Dies kann dazu führen, dass Code im Kontext der Anwendung ausgeführt wird. Ein Angreifer kann einen Benutzer davon überzeugen, ein Dokument zu öffnen, um diese Sicherheitsanfälligkeit auszulösen.

CVE2021 -21797

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 9/10/2021

Letzte Aktualisierung:9/10/2021
Ursprünglich veröffentlicht:9/10/2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 47und früher	Sicherheitslücke beim4 Lognet Parsing Apache Log4 Net-Versionen vor2. 0. 10 deaktivieren Sie keine externen XML-Entitäten, wenn Sie4 Log-Netzkonfigurationsdateien analysieren. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die vom Angreifer kontrollierte4 Log-Net-Konfigurationsdateien akzeptieren. Wichtig: Um diesen Fix anzuwenden, führen Sie bitte ein Upgrade auf die Version der iManage Desktop-Anwendung durch10. 5oder neuer. Um zu verhindern, dass Dokumente schreibgeschützt werden, stellen Sie bitte sicher, dass alle Dokumente, die auf demselben Computer geöffnet wurden, geschlossen und EINGECHECKT sind.	CVE2018 -1285	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 47und früher	JavaScript-Dokument. FlattenPages Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Ausführung von Code im Kontext der Anwendung führen kann.	CVE2021 -21798	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro13 v. 47und früher

Sicherheitslücke beim4 Lognet Parsing
Apache Log4 Net-Versionen vor2. 0. 10 deaktivieren Sie keine externen XML-Entitäten, wenn Sie4 Log-Netzkonfigurationsdateien analysieren. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die vom Angreifer kontrollierte4 Log-Net-Konfigurationsdateien akzeptieren.

Wichtig: Um diesen Fix anzuwenden, führen Sie bitte ein Upgrade auf die Version der iManage Desktop-Anwendung durch10. 5oder neuer. Um zu verhindern, dass Dokumente schreibgeschützt werden, stellen Sie bitte sicher, dass alle Dokumente, die auf demselben Computer geöffnet wurden, geschlossen und EINGECHECKT sind.

CVE2018 -1285

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Nitro Pro13 v. 47und früher

JavaScript-Dokument. FlattenPages
Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zur Ausführung von Code im Kontext der Anwendung führen kann.

CVE2021 -21798

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 9/30/2020

Update zum Sicherheitsvorfall

Im September30 wurde Nitro auf einen vereinzelten Sicherheitsvorfall aufmerksam, bei dem ein unbefugter Dritter den eingeschränkten Zugriff auf Nitro-Datenbanken beinhaltete.2020
Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensikexperten eine Untersuchung ein. Die Untersuchung ist jetzt abgeschlossen und Nitro kann Ihnen weitere Informationen geben:
- Der Vorfall betraf den Zugriff auf bestimmte Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und hauptsächlich für die Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
- Der kostenlose Online-Konvertierungsservice von Nitro erfordert nicht, dass Benutzer ein Nitro-Konto erstellen oder Nitro-Kunde werden. Die Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die konvertierte Dateien geliefert werden.
- Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
- Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash-Passwörter und gesalzene Passwörter sowie Metadaten von Dokumenten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen beinhaltete Firmennamen, Titel und IP-Adressen.
- Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
- Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort für veraltete Cloud-Dienste, die sich auf weniger als auswirken0. 0073% der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der unbefugte Dritte speziell auf die Beschaffung von Daten im Zusammenhang mit Kryptowährungen konzentriert hat.
Als Nitro von diesem Vorfall erfuhr, führte Nitro ein erzwungenes Zurücksetzen des Passworts für alle Benutzer durch, um die Kundenkonten weiter zu sichern. Darüber hinaus beinhalten die allgemeinen Leitlinien zur Aufrechterhaltung einer guten Cyberhygiene:
- Regelmäßige Änderung der Passwörter von Online-Konten, Verwendung eines separaten Passworts für Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
- Senden Sie niemals Passwörter für Online-Konten per E-Mail und überprüfen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
- Wenn möglich, aktivieren Sie die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, aktuelle Antivirensoftware installiert ist.
Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle. Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine böswilligen Aktivitäten verzeichnet.
Nitro nimmt die Sicherheit der Daten unserer Kunden ernst, und wir sind hier, um unsere Kunden auf jede Weise zu unterstützen, die hilfreich sein kann. Wir empfehlen jedem, der Fragen hat, sich an incident@gonitro.com zu wenden.

Datum: 9/17/2020

Letzte Aktualisierung:9/17/2020
Ursprünglich veröffentlicht:9/1/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 19und früher	Ganzzahlüberlauf beim Analysieren von Objektstreams Beim Öffnen eines speziell erstellten PDF-Dokuments mit einer Querverweistabelle besteht eine Sicherheitslücke, die zu einem Fehler außerhalb der Grenzen führen kann, der Speicherfehler verursacht.	CVE2020 -6113	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 22und früher	App.LaunchURL JavaScript-Befehlsinjektion Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.	CVE2020 -25290	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 9/1/2020

Letzte Aktualisierung:9/1/2020
Ursprünglich veröffentlicht:9/1/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro13 v. 22. 0. 414und früher	XRefTable Entry Fehlendes Objekt — Verwenden Sie After Free Beim Öffnen eines speziell erstellten, fehlerhaften PDF-Dokuments besteht eine Sicherheitslücke, die zu einem Zustand führen kann, in dem es nach Gebrauch nicht mehr verwendet werden kann.	CVE2020 -6115	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 22. 0. 414und früher	Indiziertes ColorSpace-Rendering — Pufferüberlauf Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem indizierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.	CVE2020 -6116	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 22. 0. 414und früher	ICC-basiertes ColorSpace-Rendering — Pufferüberlauf Beim Öffnen eines speziell gestalteten PDF-Dokuments mit einem ICC-basierten Farbraum besteht eine Sicherheitslücke, die zu einem Pufferüberlauf führen kann, der Speicherbeschädigung verursacht.	CVE2020 -6146	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
Nitro Pro13 v. 22. 0. 414und früher	App.LaunchURL JavaScript-Befehlsinjektion Beim Öffnen eines speziell erstellten PDF-Dokuments, das JavaScript enthält, besteht eine Sicherheitslücke, die zu einer Befehlsinjektion führen kann.	Keine	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 8/2/2020

Letzte Aktualisierung:8/2/2020
Ursprünglich veröffentlicht:8/2/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
Nitro Pro12 v. 16. 3. 574und früher Nitro Sign ist nicht betroffen	Digitale Signatur „Schattenangriffe“ Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass zuvor ausgeblendeter Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.	Keine	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Betroffene Versionen

Schwachstelle

CVE

Status

Lösung

Nitro Pro12 v. 16. 3. 574und früher

Nitro Sign ist nicht betroffen

Digitale Signatur „Schattenangriffe“
Beim Öffnen eines speziell gestalteten, digital signierten PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass zuvor ausgeblendeter Text angezeigt wird, wenn das Dokument nach dem Signieren geändert wird.
Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel ein bösartiges Dokument öffnen, das im Voraus von einem vertrauenswürdigen Unterzeichner vorbereitet wurde.

Keine

Gelöst

Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 5/8/2020

Letzte Aktualisierung:5/8/2020
Ursprünglich veröffentlicht:5/8/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE	Status	Lösung
13. 9. 1. 155und früher	JavaScript-XML-Fehlerbehandlung — Zugriff auf einen nicht initialisierten Zeiger Beim Öffnen eines speziell erstellten PDF-Dokuments besteht eine Sicherheitslücke, die zu einem uninitialisierten Speicherzugriff führen kann, was zu einer möglichen Offenlegung von Informationen führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.	CVE2020 -6093	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
13. 9. 1. 155und früher	Verschachtelte PDF-Seiten — Verwenden Sie After Free Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.	CVE2020 -6074	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.
13. 13. 2. 242und früher	PDF-Musterobjekt — Integer Overflow oder Wraparround Beim Öffnen eines speziell erstellten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu uneingeschränkten Schreibzugriffen führen kann, was zu Speicherbeschädigung führen kann. Um diese Sicherheitsanfälligkeit auszulösen, muss das Ziel eine bösartige Datei öffnen.	CVE2020 -6092	Gelöst	Führen Sie ein Upgrade auf die neueste Version von Nitro Pro durch.

Datum: 3/9/2020

Letzte Aktualisierung:3/9/2020
Ursprünglich veröffentlicht:3/9/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
13. 9und früher	Haufenweise Korruption npdf.dll Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke durch Beschädigung von Heaps führen kann, wodurch Speicherinhalte offengelegt werden können.	CVE2020 -10222
13. 9und früher	Heap Corruption JBIG2 DecodeStream Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke führen kann, die Speicherinhalte offenlegen kann.	CVE2020 -10223

Lösung

Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

Aktualisierte Version	Verfügbarkeit
13. 13. 2. 242	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 1/9/2020

Letzte Aktualisierung:1/9/2020
Ursprünglich veröffentlicht:10/31/2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
13. 6und früher	Heap Corruption JPEG2000 SsizDepth Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps und zum Absturz der Anwendung führen kann. Die Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.	CVE2019 -5045
13. 6und früher	Heap Corruption JPEG2000 YTSiz Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps und zum Absturz der Anwendung führen kann. Die Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.	CVE2019 -5046
13. 6und früher	Verwenden Sie After Free CharProcs Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach Gebrauch nicht verwendet werden kann und die Anwendung abstürzt.	CVE2019 -5047
13. 6und früher	Heap Corruption ICC-basierter Farbraum Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps und zum Absturz der Anwendung führen kann. Die Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.	CVE2019 -5048
13. 6und früher	Heap Corruption Page Kids Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Beschädigung des Heaps und zum Absturz der Anwendung führen kann. Die Ausführung von beliebigem Remote-Code wurde nicht bewiesen, ist aber möglicherweise möglich.	CVE2019 -5050
13. 8und früher	Nach der Länge des kostenlosen Streams verwenden Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die dazu führen kann, dass die Anwendung nach dem kostenlosen Gebrauch verwendet wird und die Anwendung abstürzt.	CVE2019 -5053

Lösung

Aktualisierte Version	Verfügbarkeit
13. 9. 1. 155	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 12/20/2019

Letzte Aktualisierung:12/20/2019
Ursprünglich veröffentlicht:12/20/2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
12. 0. 0. 112und früher	JBIG2 Decode Out-of-Bounds Read Vulnerability Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.	CVE2019 -19817
12. 0. 0. 112und früher	JBIG2 Decode Out-of-Bounds Read Vulnerability Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Sicherheitslücke beim Lesen außerhalb der Grenzen und zum Absturz der Anwendung führen kann.	CVE2019 -19818
12. 0. 0. 112und früher	Nullzeiger-Deference-Schwachstelle von JBIG2 Global Beim Öffnen eines speziell gestalteten bösartigen PDF-Dokuments besteht eine Sicherheitslücke, die zu einer Nullzeiger-Deference-Schwachstelle und zum Absturz der Anwendung führen kann.	CVE2019 -19819
12. 17. 0. 584und früher	Temporäre Datei debug.log Unter bestimmten Bedingungen (z. B. eine abgelaufene Testversion), eine temporäre Datei" debug.log" kann im Nitro Pro-Arbeitsverzeichnis erstellt werden. Diese Datei debug.log kann nach dem Schließen der Anwendung auf normale Weise manipuliert werden.	CVE2019 -19858

Lösung

Aktualisierte Version	Verfügbarkeit
13. 8. 2. 140	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 10/18/2019

Datum: 11/17/2017

Letzte Aktualisierung:11/17/2017
Ursprünglich veröffentlicht:11/17/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
11. 0. 6und davor 10. 5. 9. 14und früher	In der Funktion doc.SaveAs besteht eine Sicherheitslücke, die von einer speziell gestalteten PDF-Datei ausgenutzt werden könnte, was möglicherweise dazu führen kann, dass eine Datei außerhalb des vorgesehenen Pfads geschrieben wird.	CVE2017 -7442
11. 0. 6und davor 10. 5. 9. 14und früher	In der Funktion doc.SaveAs besteht eine Sicherheitslücke, die durch eine speziell gestaltete PDF-Datei ausgenutzt werden könnte, was möglicherweise dazu führen kann, dass eine URL in Verbindung mit einer Sicherheitswarnung gestartet wird.	CVE2017 -7442

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Aktualisierte Version	Verfügbarkeit
11. 0. 8. 470	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
10	Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 9/27/2017

Letzte Aktualisierung:9/27/2017
Ursprünglich veröffentlicht:9/27/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
11. 0. 5. 271und davor 10. 5. 9. 14und früher	Eine Sicherheitslücke beim Schreiben im Speicher, die potenziell ausgenutzt werden könnte, wenn eine speziell gestaltete PDF-Datei mit einem bestimmten Count-Feld geöffnet wird, was zu Speicherbeschädigung und einem Absturz führt.	CVE steht noch aus
11. 0. 5. 271und davor 10. 5. 9. 14und früher	Es besteht eine Use-After-Free-Sicherheitslücke, die potenziell ausgenutzt werden kann, wenn eine speziell gestaltete PDF-Datei geöffnet wird, die ein fehlerhaftes2000 JPEG-Bild enthält, was zu Speicherbeschädigung und einem Absturz führt.	CVE steht noch aus

Lösung

Aktualisierte Version	Verfügbarkeit
11. 0. 8. 470	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
10	Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 7/21/2017

Ursprünglich veröffentlicht:7/21/2017

Letzte Aktualisierung:8/25/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
11. 0. 3. 173und davor 10. 5. 9. 14und früher	Eine Sicherheitslücke beim Schreiben außerhalb des gebundenen Speichers, die potenziell ausgenutzt werden könnte, wenn eine speziell gestaltete PDF-Datei geöffnet wird, was zu Speicherbeschädigung und einem Absturz führt.	CVE2017 -2796
11. 0. 3. 173und davor 10. 5. 9. 14und früher	Eine Heap-Overflow-Schwachstelle, die möglicherweise ausgenutzt werden könnte, wenn eine speziell gestaltete PCX-Image-Datei geöffnet wird, was zu einer Speicherbeschädigung und einem Absturz führen könnte.	CVE2017 -7950

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Aktualisierte Version	Verfügbarkeit
11. 0. 8. 470	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
10	Nitro ist nicht in der Lage, diese Sicherheitslücke in Nitro Pro zu beheben13. Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Datum: 8/25/2017

Ursprünglich veröffentlicht:2/3/2017

Letzte Aktualisierung:8/25/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Betroffene Versionen	Schwachstelle	CVE
11. 0. 3. 134und davor 10. 5. 9. 9und früher	Eine speziell gestaltete PDF-Datei kann möglicherweise zu Speicherfehlern führen, die zu einem Absturz führen.	CVE-2016 -8709 CVE-2016 -8713
11. 0. 3. 134und davor 10. 5. 9. 9und früher	Eine potenzielle Sicherheitslücke bei der Remote-Codeausführung in der PDF-Parsing-Funktionalität von Nitro Pro.	CVE2016 -8711

Lösung

Aktualisierte Version	Verfügbarkeit
11. 0. 8. 470	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier11 verfügbar ist
10. 5. 9. 14+	Bitte aktualisieren Sie auf die neueste Version von Nitro Pro, die hier13 verfügbar ist

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Nitro Sicherheit Vulnerability & Bug Policy

Nitro Security Vulnerability& Bug Bounty Policy

Richtlinie
Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Die Sicherheit von Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir freuen uns über den Beitrag externer Sicherheitsforscher und freuen uns darauf, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.
Prämien
Nitro belohnt nach eigenem Ermessen akzeptierte Schwachstellenberichte. Unsere Mindestprämie ist eine Amazon-Geschenkkarte im Wert von $25 USD. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität des Berichts variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar, ob eine Prämie gewährt werden sollte, festzulegen.
Anwendungen im Geltungsbereich
Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen kommen für das Bounty-Programm in Frage. Darüber hinaus sind auch alle cloudbasierten Partnerplattformanwendungen berechtigt (z. B. Nitro File Actions). Wir können immer noch alles belohnen, was erhebliche Auswirkungen auf unsere gesamte Sicherheitslage hat. Deshalb empfehlen wir Ihnen, solche Sicherheitslücken über dieses Programm zu melden.
&Voraussetzungen für die Meldung von Sicherheitslücken
Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Entdeckung und Meldung von Sicherheitslücken zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:
- Teilen Sie uns das Sicherheitsproblem ausführlich mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Sicherheitslücke, die leicht verständlich sind, Informationen über die tatsächlichen und potenziellen Auswirkungen der Sicherheitslücke und Einzelheiten darüber, wie sie ausgenutzt werden könnte;
- Fügen Sie eine Machbarkeitsstudie bei;
- Bitte respektieren Sie unsere bestehenden Anwendungen. Das Versenden von Formularen mithilfe automatisierter Schwachstellenscanner führt nicht zu einer Prämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
- Geben Sie uns eine angemessene Zeit, um auf das Problem zu antworten, bevor Sie Informationen darüber veröffentlichen;
- Greifen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zu und ändern Sie sie nicht, ohne die ausdrückliche Genehmigung des Eigentümers. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten zu Sicherheitsforschungszwecken;
- Kontaktieren Sie uns sofort, falls Sie versehentlich auf Benutzerdaten stoßen. Sehen, ändern, speichern, speichern, übertragen oder greifen Sie nicht auf andere Weise auf die Daten zu und löschen Sie sofort alle lokalen Informationen, nachdem Sie Nitro die Sicherheitslücke gemeldet haben.
- Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Zerstörung von Daten und Unterbrechungen oder Beeinträchtigungen unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
- Ansonsten halten Sie sich an alle geltenden Gesetze.
Wir belohnen nur den ersten, der eine Sicherheitslücke gemeldet hat. Die öffentliche Offenlegung der Sicherheitslücke vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosen oder störenden Verhaltens vom Programm zu disqualifizieren.
Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. werden wir den Auszahlungsbetrag nicht aushandeln, wenn angedroht wird, die Sicherheitslücke zurückzuhalten oder die Sicherheitslücke oder andere offengelegte Daten der Öffentlichkeit zugänglich zu machen).
Prozess zur Sicherheitslücke:
(1) Nitro wird jede Schwachstelle, die gemäß den obigen Anweisungen gemeldet wurde, anerkennen und bewerten, in der Regel innerhalb weniger7 Tage.
(2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro eine Risikoanalyse mithilfe des Common Vulnerability Scoring System (CVSS v3) durch und ermittelt die für Nitro-Kunden am besten geeignete Reaktion.
- Kritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den verbundenen Computern darstellen. Nitro wird kritische Sicherheitslücken mit einem Produktupdate für die aktuelle und vorherige Version von Nitro Pro und alle Cloud-Dienste gemäß der &Sunset Policy für Produktupdates beheben.
- Nichtkritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein geringes bis mäßiges Risiko und die Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den angeschlossenen Computern darstellen. Nitro wird nach eigenem Ermessen nicht kritische Sicherheitslücken ausschließlich mit einem Produktupdate auf die aktuelle Version von Nitro Pro und allen Cloud-Diensten gemäß der &Sunset Policy für Produktupdates beheben.
(3) Nitro wird eine Lösung für alle kritischen Sicherheitslücken entwerfen, implementieren,& testen und Kunden in der Regel innerhalb weniger90 Tage ein Produktupdate zur Verfügung stellen.
(4) Nitro wird alle kritischen Sicherheitslücken, betroffene Versionen und relevante Details zu Produktupdates, die die Probleme beheben, auf dieser Nitro-Seite mit Sicherheitsupdates veröffentlichen. Nitro würdigt einzelne Sicherheitsforscher nicht öffentlich für ihre Beiträge.
Sicherheitslücken, die außerhalb des Geltungsbereichs liegen
Die folgenden Probleme fallen nicht in den Geltungsbereich dieses& Policy-Prämienprogramms:
- Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen.
- Fehlende bewährte Methoden (wir benötigen den Nachweis einer Sicherheitslücke).
- Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Hinweise auf eine Ausnutzbarkeit).
- Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
- Berichte über unsichere SSL-/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Machbarkeitsnachweis und nicht nur einen Bericht von einem Scanner).
- Sicherheitslücken bei Inhalts-Spoofing und reiner Textinjektion (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Schwachstelle, bei der Angreifer Bilder oder Rich Text (HTML) injizieren können, aber dafür gibt es kein Bounty.
- Nitro-Dienste, sofern Sie nicht in der Lage sind, private IPs oder Nitro-Server zu erreichen.
Konsequenzen der Einhaltung dieser Richtlinie
Wir werden keine Zivilklage einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten gemäß dem Gesetz über Computerbetrug und -missbrauch. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Nutzungsrichtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsforschung im Rahmen dieser Richtlinie zuzulassen. Wir werden keine DMCA-Klage gegen Sie erheben, weil Sie die technischen Maßnahmen, die wir zum Schutz der Anwendungen getroffen haben, umgangen haben.
Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Security Vulnerability& Bug Bounty Policy von Nitro eingehalten haben, wird Nitro Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.
Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an einem Verhalten beteiligen, das möglicherweise nicht mit dieser Richtlinie vereinbar ist oder in dieser Richtlinie nicht behandelt wird.
Das Kleingedruckte
Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, kommen nicht für Prämien in Frage. Nitro-Mitarbeiter und ihre Familienmitglieder haben keinen Anspruch auf Prämien.
Um die Einführung von Bug-Bounty-Programmen zu fördern und branchenweit einheitliche bewährte Sicherheitsverfahren zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor, sodass Sie sie für Ihre eigenen Zwecke kopieren und ändern können.
Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Nitro PDF Pro für Windows

Update

Update

Update

Update

Update

Update zum Sicherheitsvorfall

Update

Update

Update

Update

Update

Update

Update

Update

Update

Update

Update

Update

Nitro Security Vulnerability& Bug Bounty Policy