Отключить плагин Java в Google Chrome?

157

Это второй раз, когда на моей машине установлен исполняемый файл drive-by, использующий следующее:

  • Google Chrome 6 (последняя версия)
  • Windows 7, UAC включен

Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.

UAC предупредил меня о том, что нужно запустить странный временный исполняемый файл, и я отказался, но на моем компьютере все еще работает поддельный исполняемый файл антивируса. Вздох..

У меня действительно установлена ​​Java, потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Таким образом, я думаю, что веб-сайты выполняют установку «на машине», используя огромное количество уязвимостей нулевого дня в плагинах браузера Java .

На данный момент я удалил Java, который работает. Но мне стало интересно, смогу ли я вместо этого отключить плагин Java в Google Chrome .

Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.

Джефф Этвуд
источник
8
Как вы обнаружили этот исполняемый файл?
Леонель
5
Вы всегда можете увидеть, нужно ли обновлять ваши плагины здесь: mozilla.com/en-US/plugincheck
travis 20.10.10
3
@ paper Я использовал microsoft.com/security_essentials
Джефф Этвуд
1
Я получил похожую вещь из PDF на днях ... и в довершение всего, если бы я только вспомнил, что не хотел открывать, я мог бы избежать этого!
SamB
1
Откуда вы знаете, что это была уязвимость в Java, а не уязвимость в webkit?
BlueRaja - Дэнни Пфлюгофт

Ответы:

136

В частности, для Java Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.

Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе «Плагины» URL-адреса настроек: chrome://settings/contentвыберите «Заблокировать все».

Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:

  • Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» из контекстного меню.
  • Нажмите на значок плагина в строке URL и выберите «Запустить все плагины на этот раз».
  • Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

В Chrome также есть настройка «Нажмите для воспроизведения», которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с помощью кликбэк, поэтому я бы посоветовал не использовать ее. Вам лучше с функцией «Блокировать все».

Дэн Герберт
источник
73

Я нашел действительно старый запрос об ошибке / функции в Google Chrome здесь .
Это появляется в Chrome 6.0 или позже. Посетите chrome://plugins/или about:pluginsи отключите Java там.

альтернативный текст

Сделав это, чтобы убедиться, что Java отключена, я посетил демонстрационную страницу плагина Java . И действительно, это было отключено:

альтернативный текст

Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы Java в вашей системе, если вы абсолютно, безусловно, должны иметь ее ... потому что есть так много новых эксплойтов для нее.

Я также рекомендовал бы отключить любые плагины, которые вам не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.

Джефф Этвуд
источник
17
Я в конечном итоге отключение как 15 плагинов , которые я не знаю , что я был ...
хуан
Не могли бы вы просто зайти и удалить библиотеки плагинов "netscape" (и, я полагаю, IE) вместо удаления всего?
SamB
1
Oracle в своей мудрости взломала эти ссылки на sun.com. Я погуглил "java applet demo" и попробовал первую не-солнечную ссылку. Да, похоже, что современный Chrome отключает Java по умолчанию.
Джейсон
Начиная с Chrome 57 страница плагинов больше не доступна.
anton_rh
31

Одна маленькая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как та, на которую вы ссылаетесь.

CoreyH
источник
7
о, это потрясающий совет; Я использую IE 64 бит подобным образом, когда я хочу протестировать в «браузере, который я никогда не использую, но все еще работает»
Джефф Этвуд
10

Чтобы отключить только плагины Java, можно использовать -disable-javaпереключатель запуска. Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает приятное сообщение

В вашей системе не было обнаружено работающей Java. Установите Java, нажав кнопку ниже.

О других коммутаторах можно прочитать в Руководстве пользователя Power для Google Chrome . Есть и другая полезная информация.

Бобровский
источник
10

Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:

  • Secunia PSI / VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
  • Microsoft EMET для предотвращения переполнения стека и тому подобного
  • BufferZone для защиты от привода установщиками
  • Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему / выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые издержки - но когда у вас есть только одна машина в вашем распоряжении ...)

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них), вы можете использовать инструментарий социальной инженерии .

Metalshark
источник
0

Вместо того, чтобы отключить плагин в Chrome, другой возможностью является настройка Java для отключения его для всех браузеров.

Для этого:

  1. Открыть панель управления Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Перейти на вкладку Безопасность
  3. Снимите флажок «Включить содержимое Java в браузере»
  4. Java говорит вам, что он вступит в силу после перезапуска браузера (ов)
Ориоль
источник