安全更新
    • 最后更新:10/25/2021
      出版:10/25/2021

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案
      硝基Pro v 13.49岁,早

      JavaScript local_file_path对象释放后使用漏洞

      特殊制作的文档会导致包含文档路径的对象被销毁,然后被重用, 导致了释放后使用的漏洞, 这可能导致在应用程序上下文中执行代码. 攻击者可以说服用户打开文档来触发此漏洞.

      cve - 2021 - 21796
      解决升级到最新版本 硝基职业
      硝基Pro v 13.49岁,早

      JavaScript TimeOutObject双自由漏洞

      特别制作的文档可能导致对超时对象的引用存储在两个不同的地方. 当关闭时,该文档将导致引用被释放两次. 这可能导致在应用程序上下文中执行代码. 攻击者可以说服用户打开文档来触发此漏洞.

      cve - 2021 - 21797
      解决升级到最新版本 硝基职业
    • 最后更新:9/10/2021
      出版:9/10/2021

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案
      硝基Pro v 13.47岁,早

      Log4net解析漏洞
      2之前的Apache log4net版本.0.解析log4net配置文件时,不要禁用XML外部实体. 这允许在接受攻击者控制的log4net配置文件的应用程序中进行基于xx的攻击.

      重要提示:要应用此修复程序,请升级到iManage桌面应用程序版本10.5、更新. 以避免文档变为只读, 请确保在同一台机器上打开的所有文件都已关闭并签入.

      cve - 2018 - 1285解决升级到最新版本 硝基职业
      硝基Pro v 13.47岁,早JavaScript文件.flattenPages
      当打开包含JavaScript的专门制作的PDF文档时存在一个漏洞,该漏洞可能导致在应用程序上下文中执行代码.
      cve - 2021 - 21798解决升级到最新版本 硝基职业
    • 最后更新:9/17/2020
      出版:9/1/2020

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案
      硝基Pro v 13.19日早些时候,对象流解析整数溢出
      当使用交叉引用表打开一个特殊制作的PDF文档时存在一个漏洞,该漏洞可能导致越界错误,从而导致内存损坏.
      cve - 2020 - 6113解决升级到最新版本 硝基职业
      硝基Pro v 13.22日早些时候,应用程序.JavaScript命令注入
      当打开包含JavaScript的特殊制作的PDF文档时存在一个漏洞,该漏洞可能导致命令注入.
      CVE -‪2020 - 25290解决升级到最新版本 硝基职业
    • 最后更新:9/1/2020
      出版:9/1/2020

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案
      硝基Pro v 13.22.0.414年以及更早的时候XRefTable条目缺少对象-释放后使用
      当打开一个特别制作的, 格式不正确的PDF文档可能导致使用后免费的条件.
      cve - 2020 - 6115解决升级到最新版本 硝基职业
      硝基Pro v 13.22.0.414年以及更早的时候索引色彩空间渲染-缓冲区溢出
      当打开带有索引颜色空间的特殊制作的PDF文档时存在一个漏洞,该漏洞可能导致缓冲区溢出,从而导致内存损坏.
      cve - 2020 - 6116解决升级到最新版本 硝基职业
      硝基Pro v 13.22.0.414年以及更早的时候基于icc的颜色空间渲染-缓冲区溢出
      当使用基于icc的颜色空间打开一个特殊制作的PDF文档时存在一个漏洞,它可能导致缓冲区溢出,从而导致内存损坏.
      cve - 2020 - 6146解决升级到最新版本 硝基职业
      硝基Pro v 13.22.0.414年以及更早的时候应用程序.JavaScript命令注入
      当打开包含JavaScript的特殊制作的PDF文档时存在一个漏洞,该漏洞可能导致命令注入
      没有一个解决升级到最新版本 硝基职业
    • 最后更新:8/2/2020
      出版:8/2/2020

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案

      硝基职业 v 12.16.3.574年以及更早的时候

      硝基标志 不受影响

      数字签名“影子攻击”
      当打开一个特别制作的, 数字签名的PDF文档,当文档在签名后被更改时,可能会导致以前隐藏的文本出现.
      来触发这个漏洞, 目标必须打开由可信签名者事先准备好的恶意文档.
      没有一个解决升级到最新版本 硝基职业
    • 最后更新:5/8/2020
      出版:5/8/2020

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE状态解决方案
      13.9.1.155年以及更早的时候JavaScript XML错误处理-访问未初始化指针
      当打开一个特殊制作的PDF文档时存在一个漏洞,该漏洞可能导致未初始化的内存访问,从而导致潜在的信息泄露. 为了触发此漏洞,目标必须打开一个恶意文件.
      cve - 2020 - 6093解决升级到最新版本 硝基职业
      13.9.1.155年以及更早的时候PDF嵌套页面-使用后免费
      当打开一个特别制作的恶意PDF文档时存在一个漏洞,该漏洞可能导致越界写访问,并可能损坏内存. 为了触发此漏洞,目标必须打开一个恶意文件.
      cve - 2020 - 6074解决升级到最新版本 硝基职业
      13.13.2.242年以及更早的时候PDF模式对象-整数溢出或包围
      当打开一个特别制作的恶意PDF文档时存在一个漏洞,该漏洞可能导致越界写访问,并可能损坏内存. 为了触发此漏洞,目标必须打开一个恶意文件.
      cve - 2020 - 6092解决升级到最新版本 硝基职业
    • 最后更新:3/9/2020
      出版:3/9/2020

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      13.9和之前堆腐败npdf.dlll
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可能导致堆损坏
      可能暴露内存内容的漏洞.
      cve - 2020 - 10222
      13.9和之前堆腐败JBIG2DecodeStream
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可能导致堆损坏
      可能暴露内存内容的漏洞.
      cve - 2020 - 10223

      解决方案

      硝基建议通过硝基 eCommerce商店购买软件的用户将其软件更新至以下最新版本. 团队计划中的客户可以联系他们的硝基客户经理,以获得更新的安装程序和部署说明. 企业计划中的客户如果有指定的客户成功经理,将收到解决问题的更新版本的详细信息.

      更新版本可用性
      13.13.2.242请更新到最新版本的硝基职业 13可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 最后更新:1/9/2020
      出版:10/31/2019

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      13.6和之前堆损坏JPEG2000 ssizDepth
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致堆损坏
      应用程序崩溃了. 任意远程代码
      执行死刑还没有得到证实,但也许是可能的.
      cve - 2019 - 5045
      13.6和之前堆腐败JPEG2000 yTsiz
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致堆损坏
      应用程序崩溃了. 任意远程代码
      执行死刑还没有得到证实,但也许是可能的.
      cve - 2019 - 5046
      13.6和之前使用后免费CharProcs
      打开一个特别制作的文件时存在漏洞
      恶意PDF文件,可以导致使用后免费
      条件和应用程序崩溃.
      cve - 2019 - 5047
      13.6和之前基于icc的颜色空间堆损坏
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致堆损坏
      应用程序崩溃了. 任意远程代码
      执行死刑还没有得到证实,但也许是可能的.
      cve - 2019 - 5048
      13.6和之前堆腐败页子
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致堆损坏
      应用程序崩溃了. 任意远程代码
      执行死刑还没有得到证实,但也许是可能的.
      cve - 2019 - 5050
      13.8和之前使用后的自由流长度
      打开一个特别制作的文件时存在漏洞
      恶意PDF文件,可以导致使用后免费
      条件和应用程序崩溃.
      cve - 2019 - 5053

      解决方案

      硝基建议通过硝基 eCommerce商店购买软件的用户将其软件更新至以下最新版本. 团队计划中的客户可以联系他们的硝基客户经理,以获得更新的安装程序和部署说明. 企业计划中的客户如果有指定的客户成功经理,将收到解决问题的更新版本的详细信息.

      更新版本可用性
      13.9.1.155请更新到最新版本的硝基职业 13可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 最后更新:12/20/2019
      出版:12/20/2019

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      12.0.0.112年,前JBIG2Decode越界读取漏洞
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致越界
      读取漏洞和应用程序崩溃.
      cve - 2019 - 19817
      12.0.0.112年,前JBIG2Decode越界读取漏洞
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致越界
      读取漏洞和应用程序崩溃.
      cve - 2019 - 19818
      12.0.0.112年,前JBIG2Globals空指针遵从漏洞
      打开一个特别制作的文件时存在漏洞
      恶意PDF文档,可以导致空指针
      遵从漏洞和应用程序崩溃.
      cve - 2019 - 19819
      12.17.0.584年,前临时调试.日志文件
      在某些情况下(如过期的审判),临时的
      文件”调试.可能会在硝基职业工作中创建
      目录. 这个调试.日志文件可以操作后
      应用程序以正常方式关闭.
      cve - 2019 - 19858

      解决方案

      硝基建议通过硝基 eCommerce商店购买软件的用户将其软件更新至以下最新版本. 团队计划中的客户可以联系他们的硝基客户经理,以获得更新的安装程序和部署说明. 企业计划中的客户如果有指定的客户成功经理,将收到解决问题的更新版本的详细信息.

      更新版本可用性
      13.8.2.140请更新到最新版本的硝基职业 13可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 最后更新:10/18/2019
      出版:10/18/2019

      更新

      硝基正积极致力于解决最近公布的几个潜在漏洞. 当你意识到它们的存在时, 立博app下载评估了索赔的准确性, 评估严重程度和任何剥削的可能性, 然后(根据立博app下载现有的主动漏洞分析和处理过程)将漏洞放入补救队列中.

      立博app下载正在认真对待这些漏洞,并将在即将到来的更新中解决它们. 如需更多信息,请联系security@salvereginabooks.com.

    • 最后更新:11/17/2017
      出版:11/17/2017

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      11.0.6和之前
      10.5.9.14和之前
      Doc存在漏洞.SaveAs函数
      可以被一个特别制作的PDF文件利用,
      可能导致文件写入发生在外部
      预期路径的.
      cve - 2017 - 7442
      11.0.6和之前
      10.5.9.14和之前
      Doc存在漏洞.SaveAs函数
      可以被一个特别制作的PDF文件利用,
      可能导致URL启动
      同时发出安全警报.
      cve - 2017 - 7442

      解决方案

      硝基建议个人(个人)用户将他们的软件更新到下面的最新版本. 业务客户可以联系他们的硝基客户经理以获取任何安全更新和部署说明. 拥有专门的客户成功经理的企业客户将收到解决这些问题的更新版本的详细信息.

      更新版本可用性
      11.0.8.470请更新到最新版本的硝基职业 11可用 在这里
      10硝基无法修复硝基职业 13的这个漏洞. 请升级到最新版本的硝基职业 11可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 最后更新:9/27/2017
      出版:9/27/2017

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      11.0.5.271年,前
      10.5.9.14和之前
      可能存在的内存写入漏洞
      当打开一个特别制作的PDF文件时,使用
      一个特定的Count字段,导致内存损坏和
      崩溃. 
      CVE等待
      11.0.5.271年,前
      10.5.9.14和之前
      一个释放后使用的漏洞可能存在
      在打开一个特别制作的PDF文件时被利用
      包含一个畸形的JPEG2000图像,导致
      内存损坏和崩溃.
      CVE等待

      解决方案

      硝基建议个人(个人)用户将他们的软件更新到下面的最新版本. 业务客户可以联系他们的硝基客户经理以获取任何安全更新和部署说明. 拥有专门的客户成功经理的企业客户将收到解决这些问题的更新版本的详细信息.

      更新版本可用性
      11.0.8.470请更新到最新版本的硝基职业 11可用 在这里
      10硝基无法修复硝基职业 13的这个漏洞. 请升级到最新版本的硝基职业 11可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 出版:7/21/2017

      最后更新:8/25/2017

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      11.0.3.173年,前
      10.5.9.14和之前
      可能存在的超出限制的内存写入漏洞
      当打开一个特殊的制作时可能会被利用
      PDF文件,导致内存损坏和崩溃.
      cve - 2017 - 2796
      11.0.3.173年,前
      10.5.9.14和之前
      可能存在的堆溢出漏洞
      当打开一个特别制作的PCX图像时被利用
      文件,导致内存损坏和崩溃.
      cve - 2017 - 7950

      解决方案

      硝基建议个人(个人)用户更新他们的软件到最新版本, 其中包括对这些漏洞的修复. 业务客户可以联系他们的硝基客户经理以获得最新版本和部署说明. 拥有专门的客户成功经理的企业客户将收到解决这些问题的更新版本的详细信息.

      更新版本可用性
      11.0.8.470请更新到最新版本的硝基职业 11可用 在这里
      10硝基无法修复硝基职业 13的这个漏洞. 请升级到最新版本的硝基职业 11可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 出版:2/3/2017

      最后更新:8/25/2017

      更新

      硝基发布了新版硝基职业,解决了潜在的安全漏洞.

      影响版本脆弱性CVE
      11.0.3.134年,前
      10.5.9.9和之前
      一个特别制作的PDF文件可能会导致
      内存损坏导致崩溃.
      cve - 2016 - 8709
      cve - 2016 - 8713
      11.0.3.134年,前
      10.5.9.9和之前
      控件中的潜在远程代码执行漏洞
      硝基职业的PDF解析功能.
      cve - 2016 - 8711

      解决方案

      硝基建议个人(个人)用户更新他们的软件到最新版本, 其中包括对这些漏洞的修复. 业务客户可以联系他们的硝基客户经理以获得最新版本和部署说明. 拥有专门的客户成功经理的企业客户将收到解决这些问题的更新版本的详细信息.

      更新版本可用性
      11.0.8.470请更新到最新版本的硝基职业 11可用 在这里
      10.5.9.14+请更新到最新版本的硝基职业 13可用 在这里

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 硝基安全漏洞 & Bug赏金政策

      政策

      硝基自豪地要求很少的历史产品更新的安全漏洞. 确保用户信息的安全是硝基的首要任务,也是公司的核心价值. 立博app下载欢迎外部安全研究人员的贡献,并期待着奖励他们为所有硝基用户的安全做出的宝贵贡献.

      奖励

      硝基根据自己的判断为接受漏洞报告的人提供奖励. 立博app下载的最低奖励是25美元的亚马逊礼品卡. 奖励金额可能因报告的漏洞的严重程度和报告的质量而有所不同. 请记住,这不是一场比赛或竞争. 立博app下载保留决定奖励金额甚至是否给予奖励的权利.

      应用范围

      硝基职业, 硝基标志和硝基 Admin应用程序有资格获得赏金计划. 此外,任何基于云的合作伙伴平台应用程序也是合格的(如硝基 File Actions). 立博app下载仍然会奖励任何对立博app下载整个安全态势有重大影响的人, 因此,立博app下载鼓励您通过这个程序报告此类漏洞.

      安全漏洞报告 & 资格

      所有硝基安全漏洞应通过电子邮件报告给硝基安全团队 security@salvereginabooks.com. 为了促进漏洞的发现和报告,提高用户安全性,立博app下载要求您:

      • 与立博app下载详细分享安全问题, 包括应用程序名称, 版本/构建的影响, 重现容易理解的漏洞的简洁步骤, 关于漏洞的实际和潜在影响的信息, 以及如何利用它的细节;
      • 包含一个概念证明文件;
      • 请尊重立博app下载现有的应用程序. 通过自动漏洞扫描器发送垃圾表单不会导致任何赏金奖励,因为这些明显超出了范围;
      • 在公开任何信息之前,给立博app下载一个合理的时间来回应这个问题;
      • 不访问或修改立博app下载的数据或立博app下载的用户的数据,没有明确的许可的所有者. 只与您自己的帐户互动或测试帐户进行安全研究;
      • 如果您无意中遇到用户数据,请立即与立博app下载联系. 不把, 改变, 保存, 商店, 转移, 或以其他方式访问数据, 向硝基报告漏洞后,立即清除任何本地信息;
      • 诚信行事,避免侵犯隐私, 破坏的数据, and interruption or degradation of our services (including denial of service); and
      • 否则遵守所有适用法律.

      立博app下载只奖励第一个发现漏洞的人. 在解决之前公开披露漏洞可能会取消等待中的奖励. 对于不尊重他人或有破坏性行为的人,立博app下载保留取消其参加本项目资格的权利.

      立博app下载不会因受到胁迫或威胁而谈判.g., 立博app下载不会在隐瞒漏洞或将漏洞或任何暴露数据公开的威胁下协商支付金额).

      安全漏洞的过程:

      (1) 硝基将根据上述说明对报告的漏洞进行确认和评估, 一般在7天内.

      (2)确认漏洞时, 硝基将使用通用漏洞评分系统(CVSS v3)进行风险分析,并确定对硝基客户最适当的应对措施.

      • 关键的安全漏洞: 软件内部的问题, 如果不解决, 构成高风险和未经授权访问的可能性, 更改或销毁用户计算机或连接计算机上的信息. 硝基将通过对当前和以前版本的硝基职业的产品更新来解决关键的安全漏洞, 以及所有的云服务, 根据 产品更新 & 日落的政策.
      • 非关键安全漏洞: 软件内部的问题, 如果不解决, 构成低到中等的风险和未经授权访问的概率, 更改或销毁用户计算机或连接计算机上的信息. 硝化甘油的自由裁量权, 将解决非关键的安全漏洞与产品更新到当前版本的硝基职业, 和所有的云服务根据 产品更新 & 日落的政策.

      (3) 硝基将设计、实施 & 测试所有关键安全漏洞的修复程序, 并向客户提供产品更新, 通常在90天内.

      (4) 硝基将公开披露所有重大安全漏洞, 影响版本, 以及解决这些问题的产品更新的相关细节, 在硝基安全更新页面. 硝基没有公开承认个别安全研究人员的提交.

      检查安全漏洞

      以下问题不在本政策的范围之内 & 奖励计划:

      • 需要对用户设备进行物理访问的攻击.
      • 缺少安全头不会直接导致漏洞.
      • 缺少最佳实践(立博app下载需要安全漏洞的证据).
      • 使用已知的易受攻击库(没有可利用性的证据).
      • 硝基员工或承包商的社会工程.
      • 报告不安全的SSL/TLS密码(除非您有有效的概念证明, 而不仅仅是扫描仪上的报告).
      • 内容欺骗和纯文本注入漏洞(只能将文本或图像注入到页面中). 立博app下载将接受并解决一个欺骗漏洞,其中攻击者可以注入图像或富文本(HTML), 但它没有资格获得赏金.
      • 硝基服务,除非你能够攻击私有ip或硝基服务器.

      遵守本政策的后果

      立博app下载不会因意外事故提起民事诉讼或向执法部门投诉, 诚信违反本政策. 立博app下载认为与本政策相一致的活动构成《立博app下载》下的“授权”行为. 您的活动在一定程度上与立博app下载的“可接受使用政策”中的某些限制不一致, 立博app下载出于允许本政策下安全研究的有限目的而放弃这些限制. 立博app下载不会因为您规避了立博app下载用于保护应用范围的技术措施而对您提出DMCA索赔.

      如果第三方对您提起法律诉讼,并且您遵守了硝基的安全漏洞 & Bug赏金政策, 硝化甘油会采取措施让大家知道你们的行为是符合本政策的.

      在进行可能与本政策不一致或未被解决的行为之前,请向立博app下载提交报告.

      精美的印刷

      您有责任支付与奖励有关的任何税收. 立博app下载可以随时修改本项目条款或终止本项目. 立博app下载不会对这些项目条款进行任何溯及既往的更改. 立博app下载被法律禁止支付的个人报告是没有资格获得奖励的. 硝基员工和他们的家庭成员没有资格获得任何奖励.

      为了鼓励采用漏洞奖励计划,并在整个行业推广统一的安全最佳实践, 硝基在这个bug赏金政策中没有保留任何权利,所以你可以自由地复制和修改它为你自己的目的.

      如需更多信息,请联系硝基安全团队 security@salvereginabooks.com

    • 安全事件更新

      9月30日, 2020, 硝基意识到 是一个孤立的安全事件,涉及未经授权的第三方对硝基数据库的有限访问.

      在得知这一事件后, 硝基立即采取行动确保硝基环境的安全,并在领先的网络安全和法医专家的支持下开始调查 . 现在调查已经完成,硝基可以提供更多的细节:

      • 该事件涉及访问特定的硝基数据库, 支持某些在线服务,并主要用于存储与硝基免费在线产品相关的信息.
      • 硝基的免费在线转换服务不需要用户创建一个硝基账户或成为硝基的客户. 用户只需要提供一个电子邮件地址,转换后的文件将被发送到该电子邮件地址.
      • 这对硝基职业或硝基 分析没有影响.
      • 暴露的用户数据包括用户邮箱地址, 全名, 高度安全的散列和加盐密码, 以及记录与硝基在线服务相关的元数据. 其中很小一部分信息包括公司名称、头衔和IP地址.
      • 通过单点登录(SSO)访问云服务的用户的密码不受影响。.
      • 调查进一步发现,未经授权的第三方在一个遗留云服务位置的活动有限, 影响小于0.该位置中存储的数据的0073%. 该活动表明,未经授权的第三方专门专注于获取与加密货币相关的数据.

      在得知此事后, 硝基对所有用户进行了强制密码重置,以进一步确保用户帐户的安全. 除此之外,保持良好网络卫生的一般指导包括:

      • 定期修改网上帐户密码, 网上银行使用单独的密码, 使用密码管理器来记住多个密码.
      • 切勿将网上帐户的密码以电邮方式发出,并以访问方式确认网上帐户是否安全 http://haveibeenpwned.com/.
      • 尽可能为在线帐户启用多因素身份验证,并确保在用于访问在线帐户的任何设备上安装最新的杀毒软件.

      因为这一事件,  硝基 IT 安全团队 一直与外部网络安全专家密切合作, 加强所有 系统的 安全, 包括增强的日志, 所有区域的检测和报警服务, 以及增加对所有方案的数据监测和重新评估. IT环境仍然安全,自事件发生以来,硝基没有看到任何恶意活动.

      硝基 非常重视客户 数据 的安全, 立博app下载在 这里支持 立博app下载的 客户,以任何可能有帮助的方式. 立博app下载鼓励有问题的人立博app下载incident@salvereginabooks.com.

未来的工作

硝基 2022年生产力报告

了解疫情如何改变生产力, 工作流程和数字举措, 以及影响2022年及以后工作的趋势和技术.