CVE-2010-1297
Adobe Flash Player
2022-06-08
Adobe Flash Player contains a memory corruption vulnerability that allows remote attackers to execute code or cause denial-of-service (DoS).
Технический анализ и план устранения
Суть уязвимости
CVE-2010-1297 представляет собой критическую уязвимость типа «Memory Corruption» (повреждение памяти) в компоненте authplay.dll, который используется Adobe Flash Player и Adobe Reader/Acrobat для обработки Flash-контента.
Злоумышленник может эксплуатировать данную брешь путем создания специально сформированного SWF-файла. При открытии такого файла происходит переполнение буфера или некорректное обращение к памяти, что позволяет атакующему: * Дистанционно выполнить произвольный код (RCE) с правами текущего пользователя. * Вызвать отказ в обслуживании (DoS) путем аварийного завершения работы приложения. * Получить полный контроль над скомпрометированной системой в случае наличия повышенных привилегий у процесса.
Как исправить
Основным способом устранения является обновление программного обеспечения до версий, в которых данная ошибка была исправлена.
Для Adobe Flash Player: Необходимо обновить плеер до версии 10.1.53.64 или выше. Поскольку Adobe Flash Player официально признан устаревшим (End of Life), рекомендуется полностью удалить его из системы.
Для Adobe Reader и Acrobat: Необходимо обновить продукты до версий 9.3.3 (для Windows, Macintosh и UNIX).
Команды для проверки версии и удаления (Windows PowerShell):
Проверка установленной версии Flash Player:
Get-WmiObject -Class Win32_Product | Where-Object { $_.Name -match "Adobe Flash Player" } | Select-Object Name, Version
Удаление Adobe Flash Player через WMIC:
wmic product where "name like 'Adobe Flash Player%'" call uninstall /nointeractive
Временные меры
Если немедленное обновление или удаление невозможно, необходимо ограничить вектор атаки путем изоляции или удаления уязвимой библиотеки authplay.dll.
1. Удаление или переименование библиотеки authplay.dll Это предотвратит обработку Flash-контента внутри Adobe Reader и Acrobat.
Для Adobe Reader (путь может варьироваться в зависимости от версии):
Rename-Item -Path "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\authplay.dll" -NewName "authplay.dll.bak"
Для Adobe Acrobat:
Rename-Item -Path "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\authplay.dll" -NewName "authplay.dll.bak"
2. Включение DEP (Data Execution Prevention) Убедитесь, что функция предотвращения выполнения данных включена для всех программ и служб, что затруднит эксплуатацию повреждения памяти.
bcdedit /set {current} nx OptIn
3. Использование политик безопасности Запретите выполнение SWF-файлов в браузере и почтовых клиентах с помощью настроек групповых политик (GPO) или путем отключения соответствующих плагинов в настройках браузеров.