CVE-2011-0611

Adobe Flash Player

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

Adobe Flash Player contains a vulnerability that allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via crafted Flash content.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (утечка памяти) в механизме обработки мультимедийных данных (Sorenson Spark) в Adobe Flash Player. Злоумышленник может создать специальный SWF-файл, который при открытии в браузере жертвы приводит к выполнению произвольного кода на её компьютере или аварийному завершению приложения (DoS).

Как исправить

Решение: Обновить Adobe Flash Player до версии, в которой уязвимость устранена.

  • Для Windows, macOS, Linux и Solaris: Установить Adobe Flash Player 10.3.181.14 или новее.
  • Для Google Chrome (встроенный Flash): Обновить браузер до версии, включающей исправленный компонент. Обновление происходит автоматически или через меню "Справка" → "О браузере Google Chrome".
  • Для Android: Установить Adobe Flash Player 10.3.185.21 или новее из официального магазина приложений.

Конкретные команды для Linux (Debian/Ubuntu через apt):

# Обновить информацию о пакетах
sudo apt update

# Установить/обновить пакет flashplugin-nonfree
sudo apt install --only-upgrade flashplugin-nonfree

# Или для пакета adobe-flashplugin (если используется)
sudo apt install --only-upgrade adobe-flashplugin

Для Windows (через Центр обновления): Установить обновление безопасности, которое предоставляет исправленную версию Flash Player. Конкретный номер KB зависит от версии ОС и архитектуры. Обновление должно применяться автоматически при включённом Центре обновления Windows.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Блокировка Flash-контента в браузере:

    • Используйте расширения типа FlashBlock или Click-to-Play для браузеров, чтобы запретить автоматическую загрузку и выполнение Flash.
    • В настройках браузера отключите плагин Adobe Flash Player (например, в Chrome: chrome://settings/content/flash).

  2. Настройка WAF/Прокси:

    • Настройте корпоративный Web Application Firewall или прокси-сервер на блокировку загрузки файлов с расширением .swf или встраиваемого Flash-контента по MIME-типу application/x-shockwave-flash.

  3. Ограничение прав пользователей:

    • Убедитесь, что пользователи работают без прав администратора. Это значительно усложнит эксплуатацию уязвимости для выполнения произвольного кода.

  4. Удаление плагина:

    • На критически важных системах, где Flash не требуется для работы, полностью удалите Adobe Flash Player.
    • Команда для Linux (Debian/Ubuntu): bash sudo apt remove --purge flashplugin-nonfree adobe-flashplugin
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей