notageek.it di Mirko Iodice » Disabilitare il supporto Javascript in Adobe Reader tramite Group Policy

Come amministratori di sistema saprete benissimo che tenere aggiornato Adobe Reader su molti computer non è un'impresa facile ed in ogni caso applicare gli aggiornamenti non è sempre una misura sufficiente per garantire la protezione dei computer dalle vulnerabilità cosiddette "0day", cioè quelle non ancora corrette, sempre più utilizzate per diffondere malware via Internet.
Potete consultare la lista dei bollettini di sicurezza ^[1] per rendervi subito conto del notevole trend in aumento delle vulnerabilità "critiche" che possono portare Adobe Reader all'esecuzione di codice arbitrario sul sistema attaccato. La maggior parte degli exploit esistenti sfruttano a tale scopo Acrobat Javascript ^[2] (abilitata in maniera predefinita), questa funzionalità può non essere necessaria ai molti utenti che utilizzano Adobe Reader soltanto per visualizzare semplici documenti PDF che non contengono contenuti dinamici o interattivi.

Il sito Praetorian Prefect ^[3] propone come metodo di protezione un template amministrativo (ADM) con il quale è possibile abilitare/disabilitare Acrobat Javascript in maniera centralizzata sfruttando la tecnologia Group Policy di Active Directory.

CLASS USER

CATEGORY "Adobe Reader"
     POLICY "Version 8.0 JavaScript Settings"
        KEYNAME "SOFTWARE\Adobe\Acrobat Reader\8.0\JSPrefs" 
        PART "Enable JavaScript"
            CHECKBOX
            VALUENAME "bEnableJS"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable menu items JavaScript execution privileges" 
            CHECKBOX
            VALUENAME "bEnableMenuItems"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable global object security policy"
            CHECKBOX
            VALUENAME "bEnableGlobalSecurity"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Debugger: Show console on errors and messages"
            CHECKBOX
            VALUENAME "bConsoleOpen"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
    POLICY "Version 9.0 JavaScript Settings"
        KEYNAME "SOFTWARE\Adobe\Acrobat Reader\9.0\JSPrefs" 
        PART "Enable JavaScript"
            CHECKBOX
            VALUENAME "bEnableJS"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable menu items JavaScript execution privileges" 
            CHECKBOX
            VALUENAME "bEnableMenuItems"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable global object security policy"
            CHECKBOX
            VALUENAME "bEnableGlobalSecurity"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Debugger: Show console on errors and messages"
            CHECKBOX
            VALUENAME "bConsoleOpen"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
END CATEGORY

Potete scaricare il template da qui:

versione "ADM" per GPMC di Windows XP/2003: adobe_javascript.adm ^[4]
versione "ADMX" con ADML in Inglese ed Italiano per GPMC Windows Vista/7/2008: adobe_javascript_ADMX_en-US_it-IT.zip ^[5]

Dovrete semplicemente aggiungere il template amministrativo ad una nuova policy di tipo "Utente" ed impostarla in questo modo

Se volete ripristinare i valori di configurazione predefiniti vi sarà sufficiente reimpostare la policy come di seguito