Nitro PDF Pro para Windows
-
Última actualización: 09/25/2024
Publicado originalmente: 07/25/2023Nitro ha lanzado una nueva versión de Nitro PDF Pro, que resuelve posibles vulnerabilidades de seguridad.
Versión(es) afectada(s) Vulnerabilidad CVE Estado Solución Reconocimiento Nitro PDF Pro para Windows 13.70.7.60 y anteriores
Nitro PDF Pro para Windows 14.18.1.41 y anteriores
Se ha identificado una vulnerabilidad de seguridad en el instalador MSI, que podría permitir la escalada de privilegios locales. CVE-2024-35288 Resuelto Actualice a la versión 13.70.8.82+
Actualice a la versión 14.26.0+
Sandro Einfeldt y Michael Baer, SEC Consult Vulnerability Lab Nitro Pro 13.70.7.60 y anteriores
Nitro Pro 14.18.1.41 y anteriores
Una vulnerabilidad en el manejo de datos para documentos XFA podría hacer que un archivo se guarde en una ubicación arbitraria en el sistema de archivos del usuario. CVE-2024-44079 Resuelto Actualice a la versión 13.70.8.82+
Actualice a la versión 14.27.0+
Jörn Henkel -
Última actualización: 07/28/2023
Publicado originalmente: 07/25/2023Actualizar
Nitro ha lanzado una nueva versión de Nitro PDF Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro 13.70.4.50 y anteriores
Nitro Pro v14.1.2.47 – 14.5.0.11
Vulnerabilidad de seguridad en Artifex Ghostscript
Se ha identificado una vulnerabilidad de seguridad en Artifex Ghostscript, que se utiliza para la conversión y procesamiento de archivos.
CVE-2023-36664 Resuelto Actualice a v13.70.7.60
Actualice a v14.7.1.21 o posterior
-
Última actualización: 03/16/2023
Publicado originalmente: 03/16/2023Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.70.2 y anteriores Una vulnerabilidad de seguridad en la versión Zlib, una biblioteca de compresión de datos utilizada por Nitro PDF Pro
Se ha descubierto una vulnerabilidad de seguridad en la versión Zlib, que es una biblioteca de compresión de datos utilizada por Nitro PDF Pro.
CVE-2022-37434 Resuelto Actualícese a la última versión de Nitro PDF Pro Nitro Pro v 13.70.2 y anteriores Vulnerabilidad de OpenSSL: acceso al recurso mediante un tipo incompatible ('Confusión de tipos')
Vulnerabilidad de OpenSSL: acceso al recurso mediante un tipo incompatible ('Confusión de tipos'). Esta vulnerabilidad se ha solucionado al actualizar a OpenSSL 1.1.1t.
CVE-2023-0286 Resuelto Actualícese a la última versión de Nitro PDF Pro -
Última actualización: 12/7/2022
Publicado originalmente: 12/7/2022Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.70.0 y anteriores Ejecución de comandos arbitrarios dentro de la aplicación
Existe una vulnerabilidad por la que la aplicación permite que documentos PDF especialmente diseñados ejecuten comandos arbitrarios dentro de la aplicación.
CVE-2022-46406 Resuelto Actualícese a la última versión de Nitro PDF Pro -
Última actualización: 10/25/2021
Publicado originalmente: 10/25/2021Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.49 y anteriores JavaScript local_file_path Vulnerabilidad de uso de objeto después de libre
Un documento especialmente diseñado puede hacer que un objeto que contenga la ruta a un documento sea destruido y posteriormente reutilizado, dando lugar a una vulnerabilidad de uso después de libre, que puede conducir a la ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de que abra un documento para activar esta vulnerabilidad.
CVE-2021-21796 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.49 y anteriores JavaScript TimeOutObject doble vulnerabilidad libre
Un documento especialmente diseñado puede hacer que una referencia a un objeto de tiempo de espera se almacene en dos lugares diferentes. Al cerrar el documento, la referencia se liberará dos veces. Esto puede llevar a la ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de que abra un documento para activar esta vulnerabilidad.
CVE-2021-21797 Resuelto Actualícese a la última versión de Nitro Pro -
Última actualización: 9/10/2021
Publicado originalmente: 9/10/2021Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.47 y anteriores Vulnerabilidad en el análisis sintáctico de log4net
Apache log4net versiones anteriores a 2.0.10 no deshabilite las entidades externas XML al analizar los archivos de configuración log4net. Esto permite ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante.Importante: Para aplicar esta corrección, actualice a la aplicación iManage Desktop de la versión 10.5 o posterior. Para evitar que los documentos pasen a ser de sólo lectura, asegúrese de que todos los documentos abiertos en la misma máquina estén cerrados y COMPROBADOS.
CVE-2018-1285 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.47 y anteriores JavaScript document.flattenPages
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contenga JavaScript que puede conducir a la ejecución de código bajo el contexto de la aplicación.CVE-2021-21798 Resuelto Actualícese a la última versión de Nitro Pro -
Actualización sobre incidentes de seguridad
El 30 de 2020 de septiembre, Nitro tuvo conocimiento de un incidente de seguridad aislado que implicaba el acceso limitado a las bases de datos de Nitro por parte de un tercero no autorizado.
Tras conocer este incidente, Nitro tomó medidas inmediatas para garantizar la seguridad de su entorno e inició una investigación con el apoyo de expertos líderes en ciberseguridad y forenses. La investigación ya ha concluido y Nitro puede facilitarle más detalles:
- El incidente afectó al acceso a bases de datos específicas de Nitro, que dan soporte a determinados servicios en línea y se han utilizado principalmente para el almacenamiento de información relacionada con los productos gratuitos en línea de Nitro.
- El servicio gratuito de conversión en línea de Nitro no requiere que los usuarios creen una cuenta Nitro ni que se conviertan en clientes de Nitro. Los usuarios sólo tienen que proporcionar una dirección de correo electrónico a la que se envían los archivos convertidos.
- No se ha producido ningún impacto en Nitro Pro ni en Nitro Analytics.
- Los datos de usuario expuestos incluían direcciones de correo electrónico de usuarios, nombres completos, contraseñas cifradas y saladas de alta seguridad, así como metadatos de documentos en relación con los servicios en línea de Nitro. Una parte muy pequeña de la información incluía nombres de empresas, títulos y direcciones IP.
- Las contraseñas no se vieron afectadas para los usuarios que acceden a nuestros servicios en la nube a través del inicio de sesión único (SSO).
- La investigación identificó además una actividad limitada por parte del tercero no autorizado en una ubicación de servicios en la nube heredada, que afectó a menos del 0.0073% de los datos almacenados en esta ubicación. La actividad sugiere que el tercero no autorizado se centró específicamente en obtener datos relacionados con la criptomoneda.
Tras conocer este incidente, Nitro llevó a cabo un restablecimiento forzoso de las contraseñas de todos los usuarios para proteger aún más las cuentas de los clientes. Además de esto, entre las orientaciones generales para mantener una buena higiene cibernética se incluyen:
- Cambiar las contraseñas de las cuentas en línea con regularidad, usar una contraseña distinta para la banca en línea y utilizar un gestor de contraseñas para recordar varias contraseñas.
- No envíe nunca por correo electrónico las contraseñas de las cuentas en línea y confirme si éstas son seguras visitandohttps://haveibeenpwned.com/.
- Habilitar la autenticación multifactor para las cuentas en línea siempre que sea posible y asegurarse de que se instala un software antivirus actualizado en cualquier dispositivo utilizado para acceder a las cuentas en línea.
Desde que se produjo el incidente, el equipo de seguridad informática de Nitro ha estado trabajando estrechamente con expertos externos en ciberseguridad para reforzar la seguridad de todos los sistemas, incluyendo la mejora de los servicios de registro, detección y alerta en todas las regiones, así como el aumento de la supervisión de los datos y la reevaluación de todos los protocolos. El entorno informático sigue siendo seguro y Nitro no ha visto ninguna actividad maliciosa desde el incidente.
En Nitro nos tomamos muy en serio la seguridad de los datos de nuestros clientes, y estamos aquí para ayudarles en todo lo que pueda serles útil. Animamos a cualquier persona que tenga preguntas a que se ponga en contacto conincident@gonitro.com.
-
Última actualización: 9/17/2020
Publicado originalmente: 9/1/2020Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.19 y anteriores Desbordamiento de enteros en el análisis sintáctico de flujos de objetos
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con una tabla de referencias cruzadas que puede provocar un error fuera de los límites que cause la corrupción de la memoria.CVE-2020-6113 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.22 y anteriores app.launchURL Inyección de comandos de JavaScript
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contiene JavaScript que puede provocar la inyección de comandos.CVE-2020-25290 Resuelto Actualícese a la última versión de Nitro Pro -
Última actualización: 9/1/2020
Publicado originalmente: 9/1/2020Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 13.22.0.414 y anteriores Objeto que falta en la entrada XRefTable - Utilizar después de libre
Existe una vulnerabilidad al abrir un documento PDF malformado y especialmente diseñado que puede dar lugar a una condición de uso después de la liberación.CVE-2020-6115 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.22.0.414 y anteriores Renderizado de espacio de color indexado - Desbordamiento del búfer
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con un espacio de color indexado que puede provocar un desbordamiento de búfer que cause corrupción de memoria.CVE-2020-6116 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.22.0.414 y anteriores Renderizado ICCBased ColorSpace - Desbordamiento del búfer
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con un espacio de color basado en ICC que puede provocar un desbordamiento de búfer que cause corrupción de memoria.CVE-2020-6146 Resuelto Actualícese a la última versión de Nitro Pro Nitro Pro v 13.22.0.414 y anteriores app.launchURL Inyección de comandos de JavaScript
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contiene JavaScript que puede provocar la inyección de comandosNinguno Resuelto Actualícese a la última versión de Nitro Pro -
Última actualización: 8/2/2020
Publicado originalmente: 8/2/2020Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución Nitro Pro v 12.16.3.574 y anteriores
Nitro Sign no se ve afectado
Firma digital "ataques en la sombra"
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado y firmado digitalmente que puede hacer que aparezca texto previamente oculto al alterar el documento después de firmarlo.
Para activar esta vulnerabilidad, el objetivo debe abrir un documento malicioso preparado de antemano por un firmante de confianza.Ninguno Resuelto Actualícese a la última versión de Nitro Pro -
Última actualización: 5/8/2020
Publicado originalmente: 5/8/2020Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE Estado Solución 13.9.1.155 y anteriores Tratamiento de errores JavaScript XML - Acceso de puntero no inicializado
Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que puede provocar un acceso no inicializado a la memoria que resulte en una potencial revelación de información. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.CVE-2020-6093 Resuelto Actualícese a la última versión de Nitro Pro 13.9.1.155 y anteriores Páginas anidadas PDF - Utilizar After Free
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado que puede dar lugar a un acceso de escritura fuera de los límites con el potencial de corromper la memoria. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.CVE-2020-6074 Resuelto Actualícese a la última versión de Nitro Pro 13.13.2.242 y anteriores Objeto patrón PDF - Desbordamiento o envoltura de enteros
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado que puede dar lugar a un acceso de escritura fuera de los límites con el potencial de corromper la memoria. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.CVE-2020-6092 Resuelto Actualícese a la última versión de Nitro Pro -
Última actualización: 3/9/2020
Publicado originalmente: 3/9/2020Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 13.9 y anterior Corrupción de Heap npdf.dlll
Existe una vulnerabilidad al abrir un documento PDF malicioso
especialmente diseñado que puede provocar una vulnerabilidad de corrupción de la pila
con el potencial de exponer el contenido de la memoria.CVE-2020-10222 13.9 y anterior Heap Corruption JBIG2DecodeStream
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar una vulnerabilidad de corrupción de heap
con el potencial de exponer el contenido de la memoria.CVE-2020-10223 Solución
Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 13.13.2.242 Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Última actualización: 1/9/2020
Publicado originalmente: 10/31/2019Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 13.6 y anterior Heap Corruption JPEG2000 ssizDepth
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar la corrupción del heap
y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
no ha sido probada pero puede ser posible.CVE-2019-5045 13.6 y anterior Heap Corruption JPEG2000 yTsiz
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar la corrupción de la pila
y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
no ha sido probada pero puede ser posible.CVE-2019-5046 13.6 y anterior Use After Free CharProcs
Existe una vulnerabilidad al abrir un documento PDF malicioso
especialmente diseñado que puede provocar la condición use-after-free
y el bloqueo de la aplicación.CVE-2019-5047 13.6 y anterior Heap Corruption ICCBased Color Space
Existe una vulnerabilidad al abrir un documento PDF malicioso
especialmente diseñado que puede provocar la corrupción del heap
y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
no ha sido probada pero puede ser posible.CVE-2019-5048 13.6 y anterior Corrupción de heap Page Kids
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar la corrupción de heap
y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
no ha sido probada pero puede ser posible.CVE-2019-5050 13.8 y anterior Use After Free Stream Length
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado en
que puede provocar la condición use-after-free
y el bloqueo de la aplicación.CVE-2019-5053 Solución
Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 13.9.1.155 Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Última actualización: 12/20/2019
Publicado originalmente: 12/20/2019Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 12.0.0.112 y anterior Vulnerabilidad de lectura fuera de límites de JBIG2Decode
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar una vulnerabilidad de lectura fuera de límites
y el bloqueo de la aplicación.CVE-2019-19817 12.0.0.112 y anterior Vulnerabilidad de lectura fuera de límites de JBIG2Decode
Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
que puede provocar una vulnerabilidad de lectura fuera de límites
y el bloqueo de la aplicación.CVE-2019-19818 12.0.0.112 y anterior JBIG2Globals Vulnerabilidad de deferencia de puntero nulo
Existe una vulnerabilidad al abrir un documento PDF malicioso
especialmente diseñado que puede provocar una vulnerabilidad de deferencia de puntero nulo
y el bloqueo de la aplicación.CVE-2019-19819 12.17.0.584 y anterior Archivo temporal debug.log
En determinadas condiciones (es decir, una versión de prueba caducada), un archivo temporal
" debug.log" puede crearse en el directorio de trabajo de Nitro Pro
. Este archivo debug.log puede ser manipulado después de
la aplicación se cierra de la manera normal.CVE-2019-19858 Solución
Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 13.8.2.140 Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Última actualización: 10/18/2019
Publicado originalmente: 10/18/2019Actualizar
Nitro está trabajando activamente para solucionar varias vulnerabilidades potenciales publicadas recientemente. Al tener conocimiento de su existencia, evaluamos la exactitud de las reclamaciones, valoramos la gravedad y la probabilidad de cualquier explotación y (basándonos en nuestros procedimientos proactivos existentes de análisis y gestión de vulnerabilidades) colocamos las vulnerabilidades en nuestra cola de reparación.
Nos estamos tomando en serio estas vulnerabilidades y las abordaremos en una próxima actualización. Para más información, puede ponerse en contacto con security@gonitro.com.
-
Última actualización: 11/17/2017
Publicado originalmente: 11/17/2017Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 11.0.6 y anterior
10.5.9.14 y anteriorExiste una vulnerabilidad en la función Doc.SaveAs que
podría ser explotada por un archivo PDF especialmente diseñado,
llevando potencialmente a que una Escritura de Archivo tenga lugar fuera
de la ruta prevista.CVE-2017-7442 11.0.6 y anterior
10.5.9.14 y anteriorExiste una vulnerabilidad en la función Doc.SaveAs que
podría ser aprovechada por un archivo PDF especialmente diseñado,
lo que podría provocar el lanzamiento de una URL en
junto con una alerta de seguridad.CVE-2017-7442 Solución
Nitro recomienda a los usuarios Personales (individuales) que actualicen su software a la última versión indicada a continuación. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a las actualizaciones de seguridad y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 11.0.8.470 Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí 10 Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Última actualización: 9/27/2017
Publicado originalmente: 9/27/2017Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 11.0.5.271 y anterior
10.5.9.14 y anteriorUna vulnerabilidad de escritura en memoria que potencialmente podría ser
explotada al abrir un archivo PDF especialmente diseñado, con
un campo Count específico, llevando a la corrupción de memoria y
un fallo.CVE pendiente 11.0.5.271 y anterior
10.5.9.14 y anteriorExiste una vulnerabilidad "use-after-free" que podría explotarse potencialmente
al abrir un archivo PDF especialmente diseñado
que contenga una imagen JPEG2000 malformada, lo que provocaría la corrupción de la memoria
y un bloqueo.CVE pendiente Solución
Nitro recomienda a los usuarios Personales (individuales) que actualicen su software a la última versión indicada a continuación. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a las actualizaciones de seguridad y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 11.0.8.470 Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí 10 Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Publicado originalmente: 7/21/2017
Última actualización: 8/25/2017
Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 11.0.3.173 y anterior
10.5.9.14 y anteriorUna vulnerabilidad de escritura en memoria fuera de los límites que podría
explotarse potencialmente al abrir un archivo PDF
especialmente diseñado, lo que provocaría la corrupción de la memoria y un bloqueo.CVE-2017-2796 11.0.3.173 y anterior
10.5.9.14 y anteriorUna vulnerabilidad de desbordamiento de heap que potencialmente podría ser explotada por
al abrir un archivo de imagen PCX
especialmente diseñado, lo que provocaría la corrupción de la memoria y un fallo.CVE-2017-7950 Solución
Nitro recomienda a los usuarios personales (individuales) que actualicen su software a la última versión, que incluye correcciones para estas vulnerabilidades. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a la última versión y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 11.0.8.470 Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí 10 Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Publicado originalmente: 2/3/2017
Última actualización: 8/25/2017
Actualizar
Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.
Versiones afectadas Vulnerabilidad CVE 11.0.3.134 y anterior
10.5.9.9 y anteriorUn archivo PDF especialmente diseñado puede causar potencialmente una corrupción de memoria en
que provoque un fallo.CVE-2016-8709
CVE-2016-871311.0.3.134 y anterior
10.5.9.9 y anteriorUna posible vulnerabilidad de ejecución remota de código en la funcionalidad de análisis de PDF
de Nitro Pro.CVE-2016-8711 Solución
Nitro recomienda a los usuarios personales (individuales) que actualicen su software a la última versión, que incluye correcciones para estas vulnerabilidades. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a la última versión y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.
Versión actualizada Disponibilidad 11.0.8.470 Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí 10.5.9.14+ Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com
-
Política de recompensas por fallos de Nitro Security Vulnerability &
Política
Nitro se enorgullece de haber requerido pocas Actualizaciones de Producto históricas por vulnerabilidades de seguridad. Mantener la información de los usuarios segura y protegida es una prioridad máxima y un valor fundamental de la empresa para nosotros en Nitro. Agradecemos la contribución de los investigadores de seguridad externos y esperamos premiarles por su inestimable contribución a la seguridad de todos los usuarios de Nitro.
Recompensas
Nitro ofrece recompensas por los informes de vulnerabilidad aceptados a su discreción. Nuestra recompensa mínima es una tarjeta regalo de $25 USD de Amazon. Los importes de las recompensas pueden variar en función de la gravedad de la vulnerabilidad notificada y de la calidad del informe. Tenga en cuenta que no se trata de un concurso ni de una competición. Nos reservamos el derecho a determinar la cuantía o incluso si debe concederse una recompensa.
Aplicaciones en el ámbito
Las aplicaciones Nitro Pro, Nitro Sign y Nitro Admin son elegibles para el programa de recompensas. Además, también son elegibles todas las aplicaciones de plataformas asociadas basadas en la nube (por ejemplo, Nitro File Actions). Aún así, podemos recompensar cualquier cosa que tenga un impacto significativo en toda nuestra postura de seguridad, por lo que le animamos a informar de tales vulnerabilidades a través de este programa.
Informes sobre vulnerabilidad de la seguridad & Elegibilidad
Todas las vulnerabilidades de seguridad de Nitro deben comunicarse por correo electrónico al equipo de seguridad de Nitro en security@gonitro.com. Para promover el descubrimiento y la notificación de vulnerabilidades y aumentar la seguridad de los usuarios, le pedimos que:
- Comparta con nosotros el problema de seguridad en detalle, incluyendo el nombre de la aplicación, la versión/build afectada, pasos concisos para reproducir la vulnerabilidad que sean fácilmente comprensibles, información sobre el impacto real y potencial de la vulnerabilidad y detalles de cómo podría ser explotada;
- Incluya un archivo de prueba de concepto;
- Por favor, sea respetuoso con nuestras aplicaciones existentes. El envío de formularios spam a través de escáneres automáticos de vulnerabilidades no dará lugar a ninguna recompensa, ya que están explícitamente fuera del ámbito de aplicación;
- Concédanos un tiempo razonable para responder al problema antes de hacer pública cualquier información al respecto;
- No acceda ni modifique nuestros datos ni los de nuestros usuarios sin el permiso explícito del propietario. Interactúe únicamente con sus propias cuentas o con cuentas de prueba con fines de investigación de seguridad;
- Póngase en contacto con nosotros inmediatamente si encuentra inadvertidamente datos de usuarios. No vea, altere, guarde, almacene, transfiera ni acceda de ningún otro modo a los datos, y purgue inmediatamente cualquier información local tras informar de la vulnerabilidad a Nitro;
- Actuar de buena fe para evitar violaciones de la privacidad, destrucción de datos e interrupción o degradación de nuestros servicios (incluida la denegación de servicio); y
- Por lo demás, cumpla todas las leyes aplicables.
Sólo recompensamos al primer informador de una vulnerabilidad. La divulgación pública de la vulnerabilidad antes de su resolución puede anular una recompensa pendiente. Nos reservamos el derecho a descalificar a personas del programa por comportamiento irrespetuoso o perturbador.
No negociaremos en respuesta a coacciones o amenazas (por ejemplo, no negociaremos el importe del pago bajo amenaza de retener la vulnerabilidad o amenaza de hacer pública la vulnerabilidad o cualquier dato expuesto).
Proceso de vulnerabilidad de la seguridad:
(1) Nitro acusará recibo y evaluará cualquier vulnerabilidad notificada de acuerdo con las instrucciones anteriores, normalmente en un plazo de 7 días.
(2) Cuando se confirme una vulnerabilidad, Nitro llevará a cabo un análisis de riesgos utilizando el Sistema de puntuación de vulnerabilidades comunes (CVSS v3) y determinará la respuesta más adecuada para los clientes de Nitro.
- Vulnerabilidades críticas de seguridad: Problemas en el software que, si no se solucionan, suponen un alto riesgo y probabilidad de acceso no autorizado, alteración o destrucción de la información del ordenador de un usuario o de los ordenadores conectados. Nitro resolverá las vulnerabilidades de seguridad críticas con una Actualización de Producto para la versión actual y anterior de Nitro Pro, y todos los servicios en la nube, de acuerdo con la Política de Puesta al Día de Actualizaciones de Producto & .
- Vulnerabilidades de seguridad no críticas: Problemas dentro del software que, si no se solucionan, suponen un riesgo y una probabilidad de baja a moderada de acceso no autorizado, alteración o destrucción de la información en el ordenador de un usuario o en los ordenadores conectados. Nitro, a su discreción, resolverá las Vulnerabilidades de Seguridad No Críticas con una Actualización de Producto a la Versión Actual de Nitro Pro únicamente, y todos los servicios en la nube de acuerdo con la Política de Puesta al Día de Actualizaciones de Producto & .
(3) Nitro diseñará, implementará & probará una solución para todas las Vulnerabilidades Críticas de Seguridad, y proporcionará una Actualización de Producto a los clientes, normalmente en 90 días.
(4) Nitro divulgará públicamente todas las Vulnerabilidades Críticas de Seguridad, las versiones afectadas y los detalles relevantes de las Actualizaciones de Producto que solucionen los problemas, en esta página de Actualizaciones de Seguridad de Nitro. Nitro no reconoce públicamente a los investigadores de seguridad individuales por sus envíos.
Vulnerabilidades de seguridad fuera del alcance
Las siguientes cuestiones quedan fuera del ámbito de esta política & programa de recompensas:
- Ataques que requieren acceso físico al dispositivo de un usuario.
- Falta de cabeceras de seguridad que no conducen directamente a una vulnerabilidad.
- Falta de buenas prácticas (exigimos pruebas de una vulnerabilidad de seguridad).
- Uso de una biblioteca conocida como vulnerable (sin pruebas de explotabilidad).
- Ingeniería social de empleados o contratistas de Nitro.
- Informes de cifrados SSL/TLS inseguros (a menos que tenga una prueba de concepto que funcione, y no sólo un informe de un escáner).
- Vulnerabilidades de suplantación de contenido e inyección de texto puro (en las que sólo se puede inyectar texto o una imagen en una página). Aceptaremos y resolveremos una vulnerabilidad de suplantación de identidad en la que el atacante pueda inyectar una imagen o texto enriquecido (HTML), pero no es elegible para una recompensa.
- servicios Nitro a menos que pueda acceder a IP privadas o servidores Nitro.
Consecuencias del cumplimiento de esta política
No emprenderemos acciones civiles ni iniciaremos una denuncia ante las fuerzas del orden por violaciones accidentales y de buena fe de esta política. Consideramos que las actividades realizadas de acuerdo con esta política constituyen una conducta "autorizada" según la Ley de Fraude y Abuso Informático. En la medida en que sus actividades sean incompatibles con ciertas restricciones de nuestra Política de Uso Aceptable, renunciamos a dichas restricciones con el propósito limitado de permitir la investigación de seguridad bajo esta política. No presentaremos una reclamación DMCA contra usted por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito de aplicación.
Si un tercero inicia acciones legales contra usted y usted ha cumplido con la Política de recompensas por fallos de vulnerabilidad de seguridad de Nitro &, Nitro tomará medidas para que se sepa que sus acciones se llevaron a cabo de conformidad con esta política.
Le rogamos que nos lo comunique antes de incurrir en conductas que puedan ser incompatibles con esta política o no estén contempladas en ella.
La letra pequeña
Usted es responsable del pago de cualquier impuesto asociado a las recompensas. Podemos modificar las condiciones de este programa o ponerle fin en cualquier momento. No aplicaremos con carácter retroactivo ningún cambio que hagamos en estas condiciones del programa. Las denuncias de personas a las que la ley nos prohíbe pagar no pueden optar a las recompensas. Los empleados de Nitro y sus familiares no pueden optar a ninguna recompensa.
Con el fin de fomentar la adopción de programas de recompensas por fallos y promover las mejores prácticas de seguridad uniformes en toda la industria, Nitro no se reserva ningún derecho sobre esta política de recompensas por fallos, por lo que usted es libre de copiarla y modificarla para sus propios fines.
Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com