Disabilitare il supporto Javascript in Adobe Reader tramite Group Policy

Come amministratori di sistema saprete benissimo che tenere aggiornato Adobe Reader su molti computer non è un'impresa facile ed in ogni caso applicare gli aggiornamenti non è sempre una misura sufficiente per garantire la protezione dei computer dalle vulnerabilità cosiddette "0day", cioè quelle non ancora corrette, sempre più utilizzate per diffondere malware via Internet.
Potete consultare la lista dei bollettini di sicurezza per rendervi subito conto del notevole trend in aumento delle vulnerabilità "critiche" che possono portare Adobe Reader all'esecuzione di codice arbitrario sul sistema attaccato. La maggior parte degli exploit esistenti sfruttano a tale scopo Acrobat Javascript (abilitata in maniera predefinita), questa funzionalità può non essere necessaria ai molti utenti che utilizzano Adobe Reader soltanto per visualizzare semplici documenti PDF che non contengono contenuti dinamici o interattivi.

GPO_adobe_java1.png

Il sito Praetorian Prefect propone come metodo di protezione un template amministrativo (ADM) con il quale è possibile abilitare/disabilitare Acrobat Javascript in maniera centralizzata sfruttando la tecnologia Group Policy di Active Directory.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
CLASS USER
 
CATEGORY "Adobe Reader"
     POLICY "Version 8.0 JavaScript Settings"
        KEYNAME "SOFTWARE\Adobe\Acrobat Reader\8.0\JSPrefs" 
        PART "Enable JavaScript"
            CHECKBOX
            VALUENAME "bEnableJS"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable menu items JavaScript execution privileges" 
            CHECKBOX
            VALUENAME "bEnableMenuItems"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable global object security policy"
            CHECKBOX
            VALUENAME "bEnableGlobalSecurity"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Debugger: Show console on errors and messages"
            CHECKBOX
            VALUENAME "bConsoleOpen"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
    POLICY "Version 9.0 JavaScript Settings"
        KEYNAME "SOFTWARE\Adobe\Acrobat Reader\9.0\JSPrefs" 
        PART "Enable JavaScript"
            CHECKBOX
            VALUENAME "bEnableJS"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable menu items JavaScript execution privileges" 
            CHECKBOX
            VALUENAME "bEnableMenuItems"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable global object security policy"
            CHECKBOX
            VALUENAME "bEnableGlobalSecurity"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Debugger: Show console on errors and messages"
            CHECKBOX
            VALUENAME "bConsoleOpen"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
END CATEGORY

Potete scaricare il template da qui:

Dovrete semplicemente aggiungere il template amministrativo ad una nuova policy di tipo "Utente" ed impostarla in questo modo

GPO_adobe_java2.png

Se volete ripristinare i valori di configurazione predefiniti vi sarà sufficiente reimpostare la policy come di seguito

GPO_adobe_java3.png

Print This Email this Twit This! Add to del.icio.us Share on Facebook Digg This! Stumble It! AddThis! Share on Segnalo Alice Share on OKNotizie

Post Metadata

Data
15 gennaio 2010

Autore
Mirko

Categorie

Lascia un commento