Bon à savoir en cette période de vulnérabilité critique non corrigée pour Adobe Reader et Acrobat : le JavaScript Blacklist Framework d’Adobe permet de bloquer sélectivement certaines API JS « afin de ne pas avoir à désactiver totalement Javascript », indique l’éditeur.

C’est gratuit, ce n’est pas nouveau et ça marche aussi bien sous Windows que sous Mac OS. Et ça permet surtout d’attendre la sortie d’un correctif un peu plus sereinement, au prix d’un peu de re-configuration des clients.

Il s’agit concrètement d’une liste noire d’APIs Javascript qui ne doivent pas être appelées par le lecteur. Deux listes existent pour Windows : l’une est laissée à la discrétion de l’utilisateur tandis que l’autre est gérée par Adobe, qui y place les APIs vulnérables en attente de correctif et les retire une fois le patch disponible. Mac OS X ne dispose toutefois que d’une seule liste, gérée par Adobe.

Sous Windows, les deux listes sont stockées dans la base du registre, tandis que sous MacOS X elle est gérée via un fichier (FeatureLockdown).

Une règle destinée à contourner la dernière vulnérabilité en date est proposée par Adobe (le correctif n’est prévu que pour le 12 janvier 2010).

La méthode présentée ici intéressera en premier lieu les entreprises qui ne peuvent se passer des fonctionnalités Javascript d’Adobe Reader (si c’est votre cas, n’hésitez pas à expliquer en quoi elles vous sont indispensables en commentaire de cette actualité !). Les autres auront plus vite fait de désactiver totalement le support Javascript.

Cédric Blancher (membre de SecurityVibes ), dont un billet du blog est à l’origine de cette actualité, conseille toutefois de manière plus pragmatique de penser à changer de lecteur PDF pour un modèle sans support de Javascript.

D’ailleurs, si vous avez déployé des lecteurs PDF alternatifs dans votre entreprise, faites-nous part de votre expérience dans la Question / Réponse ouverte à ce sujet !