Protegendo o Acrobat Reader para mitigar vírus

Além das atualizações de patches, há alguma maneira de mitigar os riscos com as explorações do Adobe Reader? Francamente, não sei como a maioria das explorações de leitores funciona. No entanto, existe alguma funcionalidade que eu possa desativar no leitor que a torne mais segura contra a maioria das explorações?

Infelizmente, o Adobe Reader teve inúmeras vulnerabilidades graves de segurança nos últimos anos e, embora a Adobe tenha se concentrado um pouco mais na segurança ultimamente (estabelecendo sua Equipe de resposta a incidentes de segurança do produto (PSIRT)), é aconselhável supor que novas vulnerabilidades serão encontradas e explorado.

As coisas mais importantes que você pode fazer é:

• Leia o Guia de segurança do leitor, disponível em https://www.adobe.com/devnet/acrobat/security.html

• Em particular, desative o Javascript, se possível, definindo bEnableJS em HKEY_CURRENT_USER \ Software \ Adobe \ Adobe Acrobat \ 9.0 \ JSPrefs como 0. Muitas das explorações recentes utilizaram o suporte a Javascript.

• Fique de olho no blog PSIRT e no ISC Storm Center para novas vulnerabilidades.

• Estabeleça um regime de patches contínuo, garantindo a rápida implantação de novas versões e erradicando ativamente as versões antigas.

• O Adobe PSIRT anunciou publicamente uma falha grave em 14 de dezembro de 2009, mas um patch não estava disponível até meados de janeiro de 2010. Para intervalos de tempo como esse, você deve ter um plano para mitigar os controles de segurança, por exemplo, bloquear PDFs em gateways de correio e na web proxies.

• Considere o uso de leitores de PDF alternativos (o Mac OS X possui suporte interno, o Foxit Reader e outros podem ser uma alternativa na plataforma Windows)

Desabilitar o Javascript no Reader ajudará um pouco. Além disso, ative o recurso "Segurança aprimorada" (está ativado por padrão no Reader 9.3 e 8.2).

Na verdade, muitas das vulnerabilidades recentes estão no processamento de javascript ou JPEG; portanto, se você deseja desativar imagens e JS, poderá obter um pouco de falsa sensação de segurança.

O modo de segurança aprimorada realmente ajuda, mas muitas das explorações recentes tiveram a capacidade de sair da caixa de areia autoimposta.

O problema com os bugs do Adobe Reader é que é um campo não examinado, claro, existem bugs no Reader desde tempos imemoriais e as pessoas os descobriram, mas apenas recentemente os auditores passaram a procurar bugs.

Além disso, e discutindo a questão, está a falta distinta de estouros de buffer nos produtos da Adobe (comparativamente falando, Microsoft) no passado. Para aqueles que não estão familiarizados, o estouro de buffer foi A falha programática a ser explorada entre 1989 e 2005. Assim, a Adobe está usando um falso ar de segurança há algum tempo. Agora que as vulnerabilidades altamente complexas, como as condições de desreferenciamento de ponto após uso e estouros inteiros que levam ao envenenamento por ponteiro de função, estão se tornando cada vez mais populares para explorar produtos da Adobe, a Adobe está se esforçando para revisar o código de vulnerabilidades (ouvi de maneira anedótica que a Adobe apenas mantinha 3 pessoas na equipe de controle de qualidade de segurança em toda a empresa antes de CVE-2009-0189).

A longa história é que as vulns podem estar em qualquer lugar. Portanto, pratique a devida diligência. Nesse caso específico - isso significa manter o AV atualizado e manter o seu IPS / Firewall.

A Adobe tem um registro extremamente ruim de segurança. Eu recomendo evitar seus produtos, tanto quanto possível. No meu sistema Linux, eu uso o XPDF, que é de código aberto e existe uma versão do Windows. Sumatra é outro visualizador de PDF de código aberto para Windows.

Pelo pouco que vale a pena, os usuários que pude privar dos administradores locais estão perfeitamente seguros. ;) (As opções de MattB são muito mais úteis, no entanto).