CVE-2015-8651
Adobe Flash Player
2022-05-25
Integer overflow in Adobe Flash Player allows attackers to execute code.
Технический анализ и план устранения
Суть уязвимости
CVE-2015-8651 представляет собой критическую уязвимость типа «целочисленное переполнение» (Integer Overflow) в движке Adobe Flash Player. Проблема возникает при обработке специально сформированного контента (SWF-файлов), когда некорректная проверка границ данных приводит к переполнению буфера в памяти.
Злоумышленник может использовать эту брешь для выполнения произвольного кода (RCE) в контексте текущего пользователя. Уязвимость активно эксплуатировалась в целевых атаках (APT) через методы социальной инженерии или внедрение вредоносного кода на веб-страницы (Drive-by download).
Как исправить
Основным и единственным надежным способом устранения является обновление Adobe Flash Player до версии 20.0.0.267 или выше. Однако, учитывая, что жизненный цикл продукта (EOL) завершился 31 декабря 2020 года, Adobe Flash Player более не поддерживается и не получает обновлений безопасности.
1. Полное удаление продукта (Рекомендуется) В современной инфраструктуре Flash Player должен быть полностью удален со всех рабочих станций.
Для Windows (использование официального деинсталлятора):
uninstall_flash_player.exe -uninstall
Для удаления встроенного компонента в Windows 10/11 через обновление KB4577586:
wusa.exe /uninstall /kb:4577586 /quiet /norestart
2. Обновление (только для архивных систем) Если вы используете устаревшую систему, не имеющую выхода в интернет, установите версию не ниже 20.0.0.267 из локального репозитория.
Временные меры
Если немедленное удаление невозможно по причине зависимости бизнес-процессов от legacy-софта, примените следующие меры компенсации рисков:
1. Блокировка плагина в браузерах через GPO Отключите выполнение Flash-контента в Google Chrome (через реестр):
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome" /v "DefaultPluginsSetting" /t REG_DWORD /d 2 /f
2. Использование Killbit для ActiveX Запретите запуск Flash ActiveX в Internet Explorer через реестр:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}" /v "Compatibility Flags" /t REG_DWORD /d 0x00000400 /f
3. Изоляция Запускайте приложения, требующие Flash, исключительно в изолированных виртуальных машинах или контейнерах без доступа к корпоративной сети и интернету.
4. Фильтрация трафика Настройте правила IDS/IPS для блокировки загрузки SWF-файлов из недоверенных источников.