Questão Desativar o plug-in Java no Google Chrome?


Isto é o segundo vez que eu tive um executável drive-by instalado na minha máquina usando o seguinte:

  • Google Chrome 6 (mais recente)
  • Windows 7, UAC on

Isso aconteceu enquanto eu procurava imagens para adicionar a um post de gaming.se; um dos sites que visitei (para obter uma imagem de um cabo de transferência) deve ter o código de exploração do navegador de drive em execução.

O UAC me alertou que um executável temporário estranho queria ser executado, e eu recusei, mas eu ainda tenho o falso executável antivírus em execução na minha máquina. Suspiro..

Eu tenho Java instalado porque eu faço upload mensal de material para clearbits.net e seu upload é um plugin Java. Então, meu melhor palpite é que os sites estão fazendo instalações de drive-by usando o números massivos de vulnerabilidades de dia zero nos plug-ins do navegador Java.

Por enquanto, eu desinstalei o Java, que funciona. Mas eu me perguntei se eu poderia desativar o plugin Java no Google Chrome em vez de.

Então, como você desativa esses plugins vulneráveis ​​no Google Chrome? Não consigo encontrar a interface do usuário.


154


origem


Como você detectou este executável drive-by? - Leonel
Você sempre pode ver se seus plug-ins precisam ser atualizados aqui: mozilla.com/pt-BR/plugincheck - travis
@paper eu usei microsoft.com/security_essentials - Jeff Atwood
Eu recebi uma coisa semelhante de um PDF no outro dia ... e para completar, se eu tivesse apenas lembrado que eu não tinha a intenção de abrir uma, eu poderia ter evitado isso! - SamB
Como você sabe que era uma vulnerabilidade em Java e não uma vulnerabilidade no webkit? - BlueRaja - Danny Pflughoeft


Respostas:


Para Java especificamente, O Chrome agora desativa o Java por padrão em todas as páginas e solicita que você o execute toda vez que um site precisar dele.

Para preocupações mais gerais com plug-ins, o Chrome permite que você bloqueie completamente todos os plug-ins em todos os sites e, em seguida, permite que você os habilite seletivamente em uma página sem recarregá-los. Você também pode configurar exceções para URLs específicos.

Para ativar isso, na seção Plug-ins do URL de configurações: chrome://settings/content selecione "Bloquear tudo".

Com esta opção ativada, quando você deseja executar plugins em uma página, você tem 3 opções:

  • Clique com o botão direito no plugin e escolha "Executar este plug-in" no menu de contexto
  • Clique no ícone do plug-in na barra de URL e escolha "Executar todos os plug-ins desta vez
  • Adicione uma exceção para sites confiáveis ​​para que eles possam executar plug-ins sem sua permissão explícita toda vez

O Chrome também tem uma configuração "Clique para reproduzir", que fica oculta atrás de uma bandeira em algumas versões do Chrome. Como um comentarista mencionou, esta opção é vulnerável a ataques de clickjacking, então eu aconselho a não usá-la. Você está melhor com o recurso "Bloquear tudo".


136





Eu encontrei uma solicitação de bug / recurso muito antiga no Google Chrome Aqui.
Aparece no Chrome 6.0 ou posterior. Visita chrome://plugins/ ou about:plugins e desabilite o Java lá.

alt text

Depois que fiz isso, certificar-se de que Java foi desativado, visitei um Página de demonstração de plugins Java. E de fato foi desativado:

alt text

Mas minha recomendação geral é desinstalar o Java - você realmente Não quero Java no seu sistema a menos que você absolutamente, positivamente tenha que tê-lo .. porque há tantos novos exploits para ele.

Eu também recomendaria desativar quaisquer plugins que você não precisa absolutamente. Cada plugin habilitado é uma superfície de ataque, e ainda outra coisa que precisa ser mantida atualizada.


73



Acabei desabilitando 15 plugins que eu não sabia que tinha ... - juan
Você não poderia simplesmente entrar e excluir as DLLs do plug-in "netscape" (e IE, suponho), em vez de desinstalar tudo? - SamB
Oracle, em sua sabedoria, quebrou esses links sun.com. Eu pesquisei "java applet demo" e tentei o primeiro link não-sol. Sim, parece que o Chrome moderno desativa o Java por padrão. - Jason
A partir da página de plugins do Chrome 57 não está mais acessível. - anton_rh


Um pequeno truque que uso com o Java é procurar e instalar apenas a versão x64, que só uso quando uso o IE x64 para usar os aplicativos únicos do Java como o que você referencia.


31



oh cara, essa é uma dica incrível; Eu uso o IE 64 bit de forma semelhante quando eu quero testar em "navegador eu nunca uso, mas ainda funciona" - Jeff Atwood


Para desabilitar somente plugins Java, pode-se usar o -disable-java interruptor de arranque. Exemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegando para http://java.com/en/download/help/testvm.xml depois de um reinício do navegador dá a mensagem legal

Nenhum Java funcional foi detectado em seu sistema. Instale o Java clicando no botão abaixo.

Pode-se ler sobre outros switches em O guia do usuário avançado do Google Chrome. Há outras informações úteis também.


10





Embora possa ser uma solução fácil, basta bloquear suficientemente o Java, se você for a favor de uma abordagem mais holística, pode preferir usar uma combinação de:

  • Secunia PSI/VIM para notificação de atualizações, vulnerabilidades e atualizações automáticas
  • Microsoft EMET para evitar transbordamentos de pilha e semelhantes
  • BufferZone para proteção contra acionamento por instaladores
  • Contas virtuais iCore por vezes, quando você precisa percorrer o lado escuro da rede em uma máquina de produção (é um pouco inconveniente fazer login / logout e usar semi-virtualização, então há alguma sobrecarga - mas quando você tem apenas uma máquina à sua disposição ... )

Isso deve protegê-lo de mais do que apenas vulnerabilidades do Java.

Para medir a eficácia dessas abordagens (o EMET sozinho parece parar 90% delas) você pode querer usar o Toolkit de engenharia social.


9





Em vez de desativar o plug-in no Chrome, outra possibilidade é configurar o Java para desativá-lo para todos os navegadores.

Fazer isso:

  1. Abra o Painel de Controle Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Vá para a aba Segurança
  3. Desmarque a opção "Ativar conteúdo Java no navegador"
  4. Java diz que ele entrará em vigor após reiniciar o (s) navegador (es)

0