it-swarm-ru.tech

Отключить плагин Java в Google Chrome?

Это second время, когда на моем компьютере был установлен исполняемый файл drive-by с использованием следующего:

  • Google Chrome 6 (последняя версия)
  • Windows 7, UAC включен

Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.

UAC предупредил меня, что нужно запустить странный временный исполняемый файл, и я отказался, но я все еще запустил на моем компьютере поддельный исполняемый файл антивируса. Вздох..

У меня установлена ​​Java , потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Поэтому я думаю, что веб-сайты выполняют drive-by installs , используя огромное количество уязвимостей нулевого дня в плагинах браузера Java .

На данный момент я удалил Java, который работает. Но мне было интересно, смогу ли я отключить плагин Java в Google Chrome .

Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.

156
Jeff Atwood

Специально для Java, Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.

Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе «Дополнительные модули» URL-адреса настроек: chrome://settings/content выберите «Блокировать все».

Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:

  • Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» из контекстного меню.
  • Нажмите на значок плагина в строке URL и выберите «Запустить все плагины на этот раз».
  • Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

В Chrome также есть настройка «Нажмите для воспроизведения», которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с помощью кликбэк, поэтому я бы посоветовал не использовать ее. Вам лучше с функцией «Блокировать все».

136
Dan Herbert

Я нашел действительно старый запрос об ошибке/функции в Google Chrome здесь .
Появляется в Chrome 6.0 или новее. Посетитеchrome://plugins/илиabout:pluginsи отключите Java там.

alt text

Как только я сделал это, чтобы убедиться Java была отключена, я посетил демонстрационную страницу плагина Java . И действительно, это было отключено:

alt text

Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы в вашей системе была Java, если у вас ее абсолютно нет, потому что у нее так много новых эксплойтов.

Я также рекомендовал бы отключить любые плагины, которые вам не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.

73
Jeff Atwood

Одна небольшая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как те, на которые вы ссылаетесь.

31
CoreyH

Чтобы отключить только плагины Java, можно использовать переключатель запуска -disable-Java. Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-Java

Переход к http://Java.com/en/download/help/testvm.xml после перезапуска браузера выдает сообщение Nice

В вашей системе не было обнаружено рабочей Java. Установите Java, нажав кнопку ниже.

О других переключателях можно прочитать вРуководство для опытных пользователей Google Chrome. Есть и другая полезная информация.

10
Bobrovsky

Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:

  • Secunia PSI / VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
  • Microsoft EMET для предотвращения переполнения стека и тому подобного
  • BufferZone для защиты от привода установщиками
  • Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему/выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые издержки - но когда у вас есть только один машина в вашем распоряжении ...)

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них) вы можете использовать Инструментарий социальной инженерии .

9
Metalshark

Вместо того, чтобы отключить плагин в Chrome, другой возможностью является настройка Java для отключения его для всех браузеров.

Для этого:

  1. Откройте панель управления Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Перейти на вкладку Безопасность
  3. Снимите флажок «Включить содержимое Java в браузере»
  4. Java говорит вам, что он вступит в силу после перезапуска браузера (ов)
0
Oriol