CVE-2012-0754
Adobe Flash Player
2022-06-08
Adobe Flash Player contains a memory corruption vulnerability that allows remote attackers to execute code or cause denial-of-service (DoS).
Технический анализ и план устранения
Суть уязвимости
CVE-2012-0754 представляет собой критическую уязвимость типа «Memory Corruption» (повреждение памяти) в Adobe Flash Player. Проблема возникает при некорректной обработке MP4-контента, встроенного в SWF-файлы. Дистанционный злоумышленник может создать вредоносный файл, при открытии которого происходит переполнение буфера или нарушение целостности памяти. Это позволяет выполнить произвольный программный код (RCE) в контексте текущего пользователя или вызвать отказ в обслуживании (DoS) путем аварийного завершения работы браузера или системы.
Как исправить
Основным способом устранения является полное удаление продукта, так как Adobe Flash Player официально признан устаревшим (End of Life) и более не поддерживается. Если требуется использование в изолированных средах, необходимо обновиться до версий, вышедших после февраля 2012 года (11.1.102.62 и выше), однако единственным безопасным методом является деинсталляция.
Удаление в Windows через PowerShell:
Get-Package -Name "*Flash Player*" | Uninstall-Package -Force
Удаление с помощью официального деинсталлятора (рекомендуется):
1. Скачайте uninstall_flash_player.exe с официального архива Adobe.
2. Закройте все браузеры и мессенджеры, использующие Flash.
3. Запустите деинсталлятор с флагом тихой установки:
.\uninstall_flash_player.exe -uninstall
Очистка оставшихся директорий:
Remove-Item -Recurse -Force "C:\Windows\system32\Macromed\Flash"
Remove-Item -Recurse -Force "C:\Windows\SysWOW64\Macromed\Flash"
Remove-Item -Recurse -Force "$env:APPDATA\Adobe\Flash Player"
Remove-Item -Recurse -Force "$env:APPDATA\Macromedia\Flash Player"
Временные меры
Если немедленное удаление невозможно по технологическим причинам, необходимо минимизировать поверхность атаки:
Отключение плагина в браузерах через групповые политики (GPO):
Установите значение 0 для параметра DefaultPluginsSetting в реестре для Google Chrome:
Set-ItemProperty -Path "HKLM:\Software\Policies\Google\Chrome" -Name "DefaultPluginsSetting" -Value 0
Блокировка воспроизведения Flash-контента в Internet Explorer:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLE_FLASH" -Name "iexplore.exe" -Value 0
Использование EMET или Windows Defender Exploit Guard: Включите принудительную рандомизацию макета адресного пространства (ASLR) и предотвращение выполнения данных (DEP) для процессов браузеров, чтобы затруднить эксплуатацию повреждения памяти.
Сетевая фильтрация: Настройте IDS/IPS системы на блокировку входящих SWF и MP4 файлов, содержащих специфические сигнатуры эксплойтов для Adobe Flash Player.