155

Это второй раз, когда на моей машине установлен исполняемый файл drive-by, использующий следующее:

  • Google Chrome 6 (последняя версия)
  • Windows 7, UAC включен

Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.

UAC предупредил меня о том, что нужно запустить странный временный исполняемый файл, и я отказался, но на моем компьютере все еще работает поддельный исполняемый файл антивируса. Вздох..

У меня действительно установлена Java, потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Поэтому я думаю, что веб-сайты выполняют установку с использованием технологии drive-by, используя огромное количество уязвимостей нулевого дня в плагинах браузера Java.

На данный момент я удалил Java, который работает. Но мне стало интересно, смогу ли я вместо этого отключить плагин Java в Google Chrome .

Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.

6 ответов6

136

В частности, для Java Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.

Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе "Плагины" настроек url: chrome://settings/content выберите "Блокировать все".

Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:

  • Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» в контекстном меню.
  • Нажмите на значок плагина в строке URL и выберите «Запустить все плагины на этот раз».
  • Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

В Chrome также есть настройка "Нажмите для воспроизведения", которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с использованием щелчка, поэтому я бы посоветовал не использовать его. Вам лучше с функцией "Блокировать все".

73

Я нашел действительно старый запрос об ошибке / функции в Google Chrome здесь.
Это появляется в Chrome 6.0 или позже. Посетите chrome://plugins/ или about:plugins и отключите Java там.

альтернативный текст

Сделав это, чтобы убедиться, что Java отключена, я посетил демонстрационную страницу плагина Java. И действительно, это было отключено:

альтернативный текст

Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы Java была в вашей системе, если у вас ее абсолютно нет, потому что у нее так много новых эксплойтов.

Я также рекомендовал бы отключить любые плагины, которые вам абсолютно не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.

31

Одна небольшая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как та, на которую вы ссылаетесь.

10

Чтобы отключить только подключаемые модули Java, можно использовать параметр запуска -disable-java . Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает приятное сообщение

В вашей системе не было обнаружено рабочей Java. Установите Java, нажав кнопку ниже.

О других коммутаторах можно прочитать в Руководстве пользователя Power для Google Chrome. Есть и другая полезная информация.

9

Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:

  • Secunia PSI/VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
  • Microsoft EMET для предотвращения переполнения стека и тому подобного
  • BufferZone для защиты от привода установщиками
  • Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему /выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые издержки - но когда у вас есть только одна машина в вашем распоряжении ...)

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них), вы можете использовать инструментарий социальной инженерии.

0

Вместо того, чтобы отключить плагин в Chrome, есть еще одна возможность настроить Java, чтобы отключить его для всех браузеров.

Для этого:

  1. Откройте панель управления Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Перейти на вкладку Безопасность
  3. Снимите флажок "Включить содержимое Java в браузере"
  4. Java говорит вам, что он вступит в силу после перезапуска браузера (ов)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .