Nitro PDF Pro pour Windows
-
Dernière mise à jour : 12/5/2024
Publié à l’origine : 12/5/2023Mettre à jour
Nitro a publié une nouvelle version de Nitro PDF Pro, qui résout les vulnérabilités potentielles en matière de sécurité.
Version(s) affectée(s) Vulnérabilité CVE Statut Solution Remerciements Nitro PDF Pro pour Windows 14.32 et versions antérieures
Escalade des privilèges au niveau local N/A Résolu mises à niveau vers 14.34.1.0 N/A -
Dernière mise à jour : 09/25/2024
Publié à l’origine : 07/25/2023Mettre à jour
Nitro a publié une nouvelle version de Nitro PDF Pro, qui résout les vulnérabilités potentielles en matière de sécurité.
Version(s) affectée(s) Vulnérabilité CVE Statut Solution Remerciements Nitro PDF Pro pour Windows 13.70.7.60 et versions antérieures
Nitro PDF Pro pour Windows 14.18.1.41 et versions antérieures
Une vulnérabilité de sécurité a été identifiée dans le programme d'installation MSI, qui pourrait permettre une escalade locale des privilèges. CVE-2024-35288 Résolu Passez à la version 13.70.8.82+
Passez à la version 14.26.0+
Sandro Einfeldt et Michael Baer, SEC Consult Vulnerability Lab Nitro Pro 13.70.7.60 et antérieures
Nitro Pro 14.18.1.41 et antérieures
Une vulnérabilité dans le traitement des données pour les documents XFA pourrait entraîner l'enregistrement d'un fichier à un emplacement arbitraire sur le système de fichiers de l'utilisateur. CVE-2024-44079 Résolu Passez à la version 13.70.8.82+
Passez à la version 14.27.0+
Jörn Henkel -
Dernière mise à jour : 07/28/2023
Publié à l’origine : 07/25/2023Mettre à jour
Nitro a publié une nouvelle version de Nitro PDF Pro, qui résout les vulnérabilités potentielles en matière de sécurité.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro 13.70.4.50 et antérieures
Nitro Pro v14.1.2.47 - 14.5.0.11
Une faille de sécurité dans Artifex Ghostscript
Une faille de sécurité a été identifiée dans Artifex Ghostscript, qui est utilisé pour le rendu et la conversion de fichiers.
CVE-2023-36664 Résolu Mise à jour vers v13.70.7.60
Mise à jour vers v14.7.1.21 ou plus récent
-
Dernière mise à jour : 03/16/2023
Publié à l’origine : 03/16/2023Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.70.2 et antérieures Une faille de sécurité dans la version Zlib, une bibliothèque de compression de données utilisée par Nitro PDF Pro
Une faille de sécurité a été découverte dans la version Zlib, qui est une bibliothèque de compression de données utilisée par Nitro PDF Pro.
CVE-2022-37434 Résolu Mise à niveau vers la dernière version de Nitro PDF Pro Nitro Pro contre 13.70.2 et antérieures Vulnérabilité OpenSSL - Accès aux ressources à l’aide d’un type incompatible (« confusion de type »)
Vulnérabilité OpenSSL - Accès aux ressources à l’aide d’un type incompatible (« confusion de type ») Cette vulnérabilité a été corrigée par la mise à niveau vers OpenSSL 1.1.1t.
CVE-2023-0286 Résolu Mise à niveau vers la dernière version de Nitro PDF Pro -
Dernière mise à jour : 12/7/2022
Publié à l’origine : 12/7/2022Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.70.0 et antérieures Exécution de commandes arbitraires dans l’application
Il existe une vulnérabilité lorsque l’application permet à des documents PDF spécialement conçus d’exécuter des commandes arbitraires dans l’application.
CVE-2022-46406 Résolu Mise à niveau vers la dernière version de Nitro PDF Pro -
Dernière mise à jour : 10/25/2021
Publié à l’origine : 10/25/2021Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.49 et antérieures Vulnérabilité d’utilisation après libération d’objets JavaScript local_file_path
Un document spécialement conçu peut entraîner la destruction puis la réutilisation ultérieure d’un objet contenant le chemin d’accès à un document, ce qui entraîne une vulnérabilité d’utilisation après libération, ce qui peut entraîner l’exécution de code dans le contexte de l’application. Un attaquant peut convaincre un utilisateur d’ouvrir un document pour déclencher cette vulnérabilité.
CVE-2021-21796 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.49 et antérieures Vulnérabilité JavaScript TimeOutObject double free
Un document spécialement conçu peut entraîner le stockage d’une référence à un objet de délai d’attente à deux emplacements différents. Une fois fermé, le document entraînera la publication de la référence deux fois. Cela peut conduire à l’exécution de code dans le contexte de l’application. Un attaquant peut convaincre un utilisateur d’ouvrir un document pour déclencher cette vulnérabilité.
CVE-2021-21797 Résolu Mise à niveau vers la dernière version de Nitro Pro -
Dernière mise à jour : 9/10/2021
Publié à l’origine : 9/10/2021Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.47 et antérieures Vulnérabilité liée au traitement de réseau4de journal
Apache log4les versions réseau antérieures à 2.0.10 ne désactivez pas les entités externes XML lors de l’analyse des fichiers de configuration du journal4du réseau. Cela permet des attaques basées sur XXE dans les applications qui acceptent les fichiers de configuration de journal4de réseau contrôlés par les attaquants.Important : Pour appliquer ce correctif, effectuez une mise à niveau vers l’application iManage Desktop de la version 10.5 ou plus récent. Afin d’éviter que les documents ne deviennent en lecture seule, assurez-vous que tous les documents ouverts sur la même machine sont fermés et ARCHIVÉS.
CVE-2018-1285 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.47 et antérieures JavaScript document.flattenPages
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant JavaScript qui peut entraîner l’exécution de code dans le contexte de l’application.CVE-2021-21798 Résolu Mise à niveau vers la dernière version de Nitro Pro -
Mise à jour sur les incidents de sécurité
Le 30septembre 2020, Nitro a pris connaissance d’un incident de sécurité isolé impliquant un accès limité aux bases de données Nitro par un tiers non autorisé.
En apprenant cet incident, Nitro a pris des mesures immédiates pour s’assurer que l’environnement Nitro était sécurisé et a ouvert une enquête avec le soutien d’experts en cybersécurité et en criminalistique. L’enquête est maintenant terminée et Nitro peut fournir plus de détails :
- L’incident concernait l’accès à des bases de données spécifiques de Nitro, qui prennent en charge certains services en ligne et ont été utilisées principalement pour le stockage d’informations liées aux produits en ligne gratuits de Nitro.
- Le service de conversion en ligne gratuit de Nitro n’oblige pas les utilisateurs à créer un compte Nitro ou à devenir un client Nitro. Les utilisateurs sont simplement tenus de fournir une adresse e-mail à laquelle les fichiers convertis sont livrés.
- Il n’y a eu aucun impact sur Nitro Pro ou Nitro Analytics.
- Les données utilisateur exposées comprenaient les adresses e-mail des utilisateurs, les noms complets, les mots de passe hachés et salés hautement sécurisés, ainsi que les métadonnées de documents en relation avec les services en ligne Nitro. Une très petite partie de l’information comprenait les noms d’entreprise, les titres et les adresses IP.
- Les mots de passe n’ont pas été affectés pour les utilisateurs qui accèdent à nos services cloud via l’authentification unique (SSO).
- L’enquête a également révélé une activité limitée du tiers non autorisé dans un emplacement de services infonuagiques hérités, ayant une incidence sur moins de 0.0073% des données stockées à cet emplacement. L’activité suggère que le tiers non autorisé était spécifiquement axé sur l’obtention de données liées à la crypto-monnaie.
En apprenant cet incident, Nitro a effectué une réinitialisation forcée du mot de passe pour tous les utilisateurs afin de sécuriser davantage les comptes clients. En plus de cela, les conseils généraux pour maintenir une bonne hygiène cybernétique comprennent:
- Changer régulièrement les mots de passe des comptes en ligne, utiliser un mot de passe distinct pour les services bancaires en ligne et utiliser un gestionnaire de mots de passe pour mémoriser plusieurs mots de passe.
- Ne jamais envoyer par courriel les mots de passe des comptes en ligne et confirmer si les comptes en ligne sont sécurisés en visitant https://haveibeenpwned.com/.
- Activer l’authentification multifacteur pour les comptes en ligne lorsque cela est possible et s’assurer qu’un logiciel antivirus à jour est installé sur tout appareil utilisé pour accéder aux comptes en ligne.
Depuis l’incident, l’équipe de sécurité informatique de Nitro a travaillé en étroite collaboration avec des experts externes en cybersécurité pour renforcer la sécurité de tous les systèmes, y compris des services améliorés de journalisation, de détection et d’alerte dans toutes les régions, ainsi qu’une surveillance accrue des données et une réévaluation de tous les protocoles. L’environnement informatique reste sécurisé et Nitro n’a constaté aucune activité malveillante depuis l’incident.
Nitro prend la sûreté et la sécurité des données de nos clients au sérieux, et nous sommes là pour soutenir nos clients de toutes les manières utiles. Nous encourageons toute personne ayant des questions à incident@gonitro.com contacter.
-
Dernière mise à jour : 9/17/2020
Publié à l’origine : 9/1/2020Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.19 et antérieures Flux d’objets analysant le dépassement d’entier
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un tableau de références croisées qui peut entraîner une erreur hors limites provoquant une corruption de la mémoire.CVE-2020-6113 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.22 et antérieures app.launchURL Injection de commandes JavaScript
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant du JavaScript qui peut entraîner une injection de commandes.CVE-2020-25290 Résolu Mise à niveau vers la dernière version de Nitro Pro -
Dernière mise à jour : 9/1/2020
Publié à l’origine : 9/1/2020Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 13.22.0.414 et versions antérieures Objet manquant de l’entrée XRefTable - Utiliser après la libération
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu et mal formé, ce qui peut entraîner une condition d’utilisation après libération.CVE-2020-6115 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.22.0.414 et versions antérieures Rendu ColorSpace indexé – Buffer Overflow
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un espace colorimétrique indexé qui peut entraîner un débordement de la mémoire tampon entraînant une corruption de la mémoire.CVE-2020-6116 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.22.0.414 et versions antérieures Rendu ICCBased ColorSpace – Buffer Overflow
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu avec un espace colorimétrique ICCBased qui peut entraîner un débordement de la mémoire tampon provoquant une corruption de la mémoire.CVE-2020-6146 Résolu Mise à niveau vers la dernière version de Nitro Pro Nitro Pro contre 13.22.0.414 et versions antérieures app.launchURL Injection de commandes JavaScript
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu contenant JavaScript qui peut conduire à l’injection de commandesAucun Résolu Mise à niveau vers la dernière version de Nitro Pro -
Dernière mise à jour : 8/2/2020
Publié à l’origine : 8/2/2020Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution Nitro Pro contre 12.16.3.574 et versions antérieures
Le signe Nitro n’est pas affecté
Signature numérique « attaques fantômes »
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu et signé numériquement qui peut provoquer l’apparition de texte précédemment masqué lorsque le document est modifié après la signature.
Pour déclencher cette vulnérabilité, la cible doit ouvrir un document malveillant préparé à l’avance par un signataire approuvé.Aucun Résolu Mise à niveau vers la dernière version de Nitro Pro -
Dernière mise à jour : 5/8/2020
Publié à l’origine : 5/8/2020Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE Statut Solution 13.9.1.155 et versions antérieures Gestion des erreurs XML JavaScript – Accès au pointeur non initialisé
Il existe une vulnérabilité lors de l’ouverture d’un document PDF spécialement conçu qui peut provoquer un accès mémoire non initialisé entraînant la divulgation potentielle d’informations. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.CVE-2020-6093 Résolu Mise à niveau vers la dernière version de Nitro Pro 13.9.1.155 et versions antérieures Pages PDF imbriquées - Utiliser après gratuit
Il existe une vulnérabilité lors de l’ouverture d’un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corruption de la mémoire. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.CVE-2020-6074 Résolu Mise à niveau vers la dernière version de Nitro Pro 13.13.2.242 et versions antérieures Objet de modèle PDF – Dépassement d’entier ou wraparound
Il existe une vulnérabilité lors de l’ouverture d’un document PDF malveillant spécialement conçu qui peut conduire à un accès en écriture hors limites avec le potentiel de corruption de la mémoire. Pour déclencher cette vulnérabilité, la cible doit ouvrir un fichier malveillant.CVE-2020-6092 Résolu Mise à niveau vers la dernière version de Nitro Pro -
Dernière mise à jour : 3/9/2020
Publié à l’origine : 3/9/2020Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 13.9 et antérieures Corruption du tas npdf.dlll
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
Vulnérabilité susceptible d’exposer le contenu de la mémoire.CVE-2020-10222 13.9 et antérieures Corruption du tas JBIG2DecodeStream
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
Vulnérabilité susceptible d’exposer le contenu de la mémoire.CVE-2020-10223 Solution
Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 13.13.2.242 Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Dernière mise à jour : 1/9/2020
Publié à l’origine : 10/31/2019Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 13.6 et antérieures Corruption du tas JPEG2000 ssizDepth
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
et l’application se bloque. Code distant arbitraire
L’exécution n’a pas été prouvée mais peut être possible.CVE-2019-5045 13.6 et antérieures Corruption du tas JPEG2000 yTsiz
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
et l’application se bloque. Code distant arbitraire
L’exécution n’a pas été prouvée mais peut être possible.CVE-2019-5046 13.6 et antérieures Utiliser après CharProcs gratuits
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant conduire à une utilisation après libération
et l’application se bloque.CVE-2019-5047 13.6 et antérieures Corruption du tas ICCAsd’espace colorimétrique
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
et l’application se bloque. Code distant arbitraire
L’exécution n’a pas été prouvée mais peut être possible.CVE-2019-5048 13.6 et antérieures Page de corruption de tas Enfants
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant entraîner une corruption du tas
et l’application se bloque. Code distant arbitraire
L’exécution n’a pas été prouvée mais peut être possible.CVE-2019-5050 13.8 et antérieures Utiliser après la longueur du flux libre
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant conduire à une utilisation après libération
et l’application se bloque.CVE-2019-5053 Solution
Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 13.9.1.155 Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Dernière mise à jour : 12/20/2019
Publié à l’origine : 12/20/2019Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 12.0.0.112 et antérieures Vulnérabilité de lecture hors limites liée au décodage JBIG2
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant conduire à un hors limites
Vulnérabilité de lecture et l’application se bloque.CVE-2019-19817 12.0.0.112 et antérieures Vulnérabilité de lecture hors limites liée au décodage JBIG2
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant conduire à un hors limites
Vulnérabilité de lecture et l’application se bloque.CVE-2019-19818 12.0.0.112 et antérieures Vulnérabilité de déférence du pointeur nul dans JBIG2Globals
Il existe une vulnérabilité lors de l’ouverture d’un
document PDF malveillant pouvant conduire à un pointeur nul
Vulnérabilité de déférence et l’application se bloquant.CVE-2019-19819 12.17.0.584 et antérieures Fichier de débogage temporaire.log
Dans certaines conditions (c.-à-d. un essai expiré), un
fichier « debug.log » peut être créé dans le Nitro Pro de travail
répertoire. Ce fichier de débogage.log peut être manipulé après
L’application est fermée normalement.CVE-2019-19858 Solution
Nitro recommande aux clients qui ont acheté via la boutique en ligne Nitro de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients disposant de plans Team peuvent contacter leur gestionnaire de compte Nitro pour accéder aux programmes d’installation mis à jour et aux instructions de déploiement. Les clients des plans Entreprise qui ont un Customer Success Manager affecté recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 13.8.2.140 Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Dernière mise à jour : 10/18/2019
Publié à l’origine : 10/18/2019Mettre à jour
Nitro travaille activement à résoudre plusieurs vulnérabilités potentielles récemment publiées. Dès que nous avons été informés de leur existence, nous avons évalué l’exactitude des réclamations, évalué la gravité et la probabilité de toute exploitation, et (sur la base de nos procédures d’analyse et de traitement proactives des vulnérabilités existantes) nous avons ensuite placé les vulnérabilités dans notre file d’attente de correction.
Nous prenons ces vulnérabilités au sérieux et nous les corrigerons dans une prochaine mise à jour. Pour plus d’informations, vous pouvez contacter security@gonitro.com.
-
Dernière mise à jour : 11/17/2017
Publié à l’origine : 11/17/2017Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 11.0.6 et antérieures
10.5.9.14 et antérieuresIl existe une vulnérabilité dans la fonction Doc.SaveAs qui
pourrait être exploité par un fichier PDF spécialement conçu,
pouvant conduire à une écriture de fichier en dehors
du chemin prévu.CVE-2017-7442 11.0.6 et antérieures
10.5.9.14 et antérieuresIl existe une vulnérabilité dans la fonction Doc.SaveAs qui
pourrait être exploité par un fichier PDF spécialement conçu,
pouvant conduire à un lancement d’URL en
conjonction avec une alerte de sécurité.CVE-2017-7442 Solution
Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 11.0.8.470 Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici 10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Dernière mise à jour : 9/27/2017
Publié à l’origine : 9/27/2017Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 11.0.5.271 et antérieures
10.5.9.14 et antérieuresUne vulnérabilité d’écriture mémoire qui pourrait potentiellement être
exploité lors de l’ouverture d’un fichier PDF spécialement conçu, avec
un champ Count spécifique, entraînant une corruption de la mémoire et
un crash.CVE en attente 11.0.5.271 et antérieures
10.5.9.14 et antérieuresIl existe une vulnérabilité d’utilisation après libération qui pourrait potentiellement
être exploité lors de l’ouverture d’un fichier PDF spécialement conçu
contenant une image2000 JPEG mal formée, conduisant à
corruption de la mémoire et plantage.CVE en attente Solution
Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version ci-dessous. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder aux mises à jour de sécurité et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 11.0.8.470 Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici 10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Publié à l’origine : 7/21/2017
Dernière mise à jour : 8/25/2017
Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 11.0.3.173 et antérieures
10.5.9.14 et antérieuresUne vulnérabilité d’écriture de mémoire non liée qui pourrait
potentiellement exploité lors de l’ouverture d’un
PDF, entraînant une corruption de la mémoire et un plantage.CVE-2017-2796 11.0.3.173 et antérieures
10.5.9.14 et antérieuresUne vulnérabilité de débordement de tas qui pourrait potentiellement être
exploité lors de l’ouverture d’une image PCX spécialement conçue
, entraînant une corruption de la mémoire et un plantage.CVE-2017-7950 Solution
Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 11.0.8.470 Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici 10 Nitro n’est pas en mesure de corriger cette vulnérabilité dans Nitro Pro 13. Veuillez effectuer la mise à niveau vers la dernière version de Nitro Pro 11 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Publié à l’origine : 2/3/2017
Dernière mise à jour : 8/25/2017
Mettre à jour
Nitro a publié une nouvelle version de Nitro Pro, qui résout les vulnérabilités de sécurité potentielles.
Versions concernées Vulnérabilité CVE 11.0.3.134 et antérieures
10.5.9.9 et antérieuresUn fichier PDF spécialement conçu peut potentiellement causer
corruption de la mémoire entraînant un plantage.CVE-2016-8709
CVE-2016-871311.0.3.134 et antérieures
10.5.9.9 et antérieuresUne vulnérabilité potentielle d’exécution de code à distance dans le
Fonctionnalité d’analyse PDF de Nitro Pro.CVE-2016-8711 Solution
Nitro recommande aux utilisateurs personnels (individuels) de mettre à jour leur logiciel vers la dernière version, qui inclut des correctifs pour ces vulnérabilités. Les clients professionnels peuvent contacter leur gestionnaire de compte Nitro pour accéder à la dernière version et aux instructions de déploiement. Les clients d’entreprise disposant d’un Customer Success Manager dédié recevront des détails sur les versions mises à jour qui résolvent les problèmes.
Version mise à jour Disponibilité 11.0.8.470 Veuillez mettre à jour vers la dernière version de Nitro Pro 11 disponible ici 10.5.9.14+ Veuillez mettre à jour vers la dernière version de Nitro Pro 13 disponible ici Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com
-
Politique de Nitro Security Vulnerability & Bug Bounty
Politique
Nitro est fier d’avoir exigé peu de mises à jour historiques de produits pour les vulnérabilités de sécurité. Assurer la sécurité des informations des utilisateurs est une priorité absolue et une valeur fondamentale de l’entreprise chez Nitro. Nous saluons la contribution des chercheurs externes en sécurité et sommes impatients de les récompenser pour leur contribution inestimable à la sécurité de tous les utilisateurs de Nitro.
Récompenses
Nitro offre des récompenses pour les rapports de vulnérabilité acceptés à sa discrétion. Notre récompense minimale est une carte-cadeau Amazon de25 USD. Les montants des récompenses peuvent varier en fonction de la gravité de la vulnérabilité signalée et de la qualité du rapport. Gardez à l’esprit qu’il ne s’agit pas d’un concours ou d’une compétition. Nous nous réservons le droit de déterminer le montant ou même si une récompense doit être accordée.
Applications visées
Les applications Nitro Pro, Nitro Sign et Nitro Admin sont éligibles au programme de primes. En outre, toutes les applications de plate-forme partenaire basées sur le cloud sont également éligibles (par exemple, Nitro File Actions). Nous pouvons toujours récompenser tout ce qui a un impact significatif sur l’ensemble de notre posture de sécurité, nous vous encourageons donc à signaler de telles vulnérabilités via ce programme.
Rapports sur les vulnérabilités de sécurité et éligibilité
Toutes les vulnérabilités de sécurité Nitro doivent être signalées par e-mail à l’équipe de sécurité Nitro à security@gonitro.com. Pour favoriser la découverte et le signalement des vulnérabilités et accroître la sécurité des utilisateurs, nous vous demandons de :
- Partagez le problème de sécurité avec nous en détail, y compris le nom de l’application, la version / build affectée, les étapes concises pour reproduire la vulnérabilité qui sont facilement comprises, des informations sur l’impact réel et potentiel de la vulnérabilité, et des détails sur la façon dont elle pourrait être exploitée ;
- Inclure un dossier de validation de principe;
- Veuillez respecter nos applications existantes. Le spamming de formulaires via des scanners de vulnérabilité automatisés n’entraînera aucune récompense de prime puisque ceux-ci sont explicitement hors de portée;
- Donnez-nous un délai raisonnable pour répondre à la question avant de rendre publique toute information à ce sujet;
- N’accédez pas ou ne modifiez pas nos données ou les données de nos utilisateurs, sans l’autorisation explicite du propriétaire. N’interagissez avec vos propres comptes ou comptes de test qu’à des fins de recherche en sécurité ;
- Contactez-nous immédiatement si vous rencontrez par inadvertance des données utilisateur. Ne visualisez pas, ne modifiez pas, n’enregistrez pas, ne stockez, ne transférez pas ou n’accédez pas aux données, et purgez immédiatement toute information locale en signalant la vulnérabilité à Nitro ;
- Agir de bonne foi pour éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services (y compris le déni de service); et
- Autrement se conformer à toutes les lois applicables.
Nous ne récompensons que le premier rapporteur d’une vulnérabilité. La divulgation publique de la vulnérabilité avant la résolution peut annuler une récompense en attente. Nous nous réservons le droit de disqualifier des personnes du programme pour comportement irrespectueux ou perturbateur.
Nous ne négocierons pas en réponse à la contrainte ou aux menaces (par exemple, nous ne négocierons pas le montant du paiement sous la menace de retenir la vulnérabilité ou la menace de divulguer la vulnérabilité ou toute donnée exposée au public).
Processus de vulnérabilité de sécurité :
(1) Nitro reconnaîtra et évaluera toute vulnérabilité signalée conformément aux instructions ci-dessus, généralement dans un délai de 7 jours.
(2) Lorsqu’une vulnérabilité est confirmée, Nitro effectuera une analyse des risques à l’aide du Common Vulnerability Scoring System (CVSS v3) et déterminera la réponse la plus appropriée pour les clients Nitro.
- Vulnérabilités de sécurité critiques : Problèmes au sein du logiciel qui, s’ils ne sont pas résolus, présentent un risque élevé et une probabilité élevée d’accès non autorisé, d’altération ou de destruction d’informations sur l’ordinateur d’un utilisateur ou les ordinateurs connectés. Nitro résoudra les vulnérabilités de sécurité critiques avec une mise à jour du produit vers la version actuelle et précédente de Nitro Pro, et tous les services cloud, conformément aux mises à jour du produit et à la politique de temporisation.
- Vulnérabilités de sécurité non critiques : Problèmes au sein du logiciel qui, s’ils ne sont pas résolus, présentent un risque et une probabilité faibles à modérés d’accès non autorisé, de modification ou de destruction d’informations sur l’ordinateur d’un utilisateur ou les ordinateurs connectés. Nitro, à sa discrétion, résoudra les vulnérabilités de sécurité non critiques avec une mise à jour du produit vers la version actuelle de Nitro Pro uniquement, et tous les services cloud conformément aux mises à jour des produits et à la politique de temporisation.
(3) Nitro concevra, mettra en œuvre et testera un correctif pour toutes les vulnérabilités de sécurité critiques et fournira une mise à jour du produit aux clients, généralement dans un délai de 90 jours.
(4) Nitro divulguera publiquement toutes les vulnérabilités de sécurité critiques, les versions concernées et les détails pertinents des mises à jour de produits qui résolvent les problèmes, sur cette page Mises à jour de sécurité Nitro. Nitro ne reconnaît pas publiquement les chercheurs en sécurité individuels pour leurs soumissions.
Vulnérabilités de sécurité hors champ d’application
Les questions suivantes ne relèvent pas de la portée de cette politique et de ce programme de récompenses :
- Attaques nécessitant un accès physique à l’appareil d’un utilisateur.
- En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
- Meilleures pratiques manquantes (nous exigeons la preuve d’une vulnérabilité de sécurité).
- Utilisation d’une bibliothèque connue pour être vulnérable (sans preuve d’exploitabilité).
- Ingénierie sociale des employés ou sous-traitants de Nitro.
- Rapports de chiffrements SSL/TLS non sécurisés (sauf si vous avez une preuve de concept fonctionnelle, et pas seulement un rapport d’un scanner).
- Vulnérabilités d’usurpation de contenu et d’injection de texte pur (où vous ne pouvez injecter que du texte ou une image dans une page). Nous accepterons et résoudrons une vulnérabilité d’usurpation d’identité où un attaquant peut injecter une image ou du texte enrichi (HTML), mais il n’est pas éligible à une prime.
- Services Nitro sauf si vous êtes en mesure d’atteindre des adresses IP privées ou des serveurs Nitro.
Conséquences du respect de la présente politique
Nous n’intenterons pas d’action civile ou ne déposerons pas de plainte auprès des forces de l’ordre pour des violations accidentelles et de bonne foi de cette politique. Nous considérons que les activités menées conformément à cette politique constituent une conduite « autorisée » en vertu de la loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre Politique d’utilisation acceptable, nous renonçons à ces restrictions dans le but limité de permettre la recherche de sécurité en vertu de cette politique. Nous n’intenterons pas de réclamation DMCA contre vous pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications concernées.
Si une action en justice est intentée par un tiers contre vous et que vous vous êtes conformé à la politique de Nitro en matière de vulnérabilité de sécurité et de bug bounty, Nitro prendra des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.
Veuillez nous soumettre un rapport avant de vous engager dans une conduite qui pourrait être incompatible avec ou non traitée par cette politique.
Les petits caractères
Vous êtes responsable du paiement de toutes les taxes associées aux récompenses. Nous pouvons modifier les conditions de ce programme ou mettre fin à ce programme à tout moment. Nous n’appliquerons rétroactivement aucune modification apportée aux présentes conditions du programme. Les signalements de personnes que la loi nous interdit de payer ne sont pas admissibles aux récompenses. Les employés de Nitro et les membres de leur famille ne sont admissibles à aucune récompense.
Afin d’encourager l’adoption de programmes de bug bounty et de promouvoir les meilleures pratiques de sécurité uniformes dans l’ensemble de l’industrie, Nitro ne se réserve aucun droit sur cette politique de bug bounty et vous êtes donc libre de la copier et de la modifier à vos propres fins.
Pour plus d’informations, veuillez contacter l’équipe de sécurité Nitro à security@gonitro.com