Отключить плагин Java в Google Chrome?

Question

Это второй раз, когда на моей машине установлен исполняемый файл drive-by, использующий следующее:

• Google Chrome 6 (последняя версия)
• Windows 7, UAC включен

Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.

UAC предупредил меня о том, что нужно запустить странный временный исполняемый файл, и я отказался, но на моем компьютере все еще работает поддельный исполняемый файл антивируса. Вздох..

У меня действительно установлена Java, потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Поэтому я думаю, что веб-сайты выполняют установку с использованием технологии drive-by, используя огромное количество уязвимостей нулевого дня в плагинах браузера Java.

На данный момент я удалил Java, который работает. Но мне стало интересно, смогу ли я вместо этого отключить плагин Java в Google Chrome .

Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.

Answer 1

В частности, для Java Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.

Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе "Плагины" настроек url: chrome://settings/content выберите "Блокировать все".

Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:

• Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» в контекстном меню.
• Нажмите на значок плагина в строке URL и выберите «Запустить все плагины на этот раз».
• Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

В Chrome также есть настройка "Нажмите для воспроизведения", которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с использованием щелчка, поэтому я бы посоветовал не использовать его. Вам лучше с функцией "Блокировать все".

Answer 2

Я нашел действительно старый запрос об ошибке / функции в Google Chrome здесь.
Это появляется в Chrome 6.0 или позже. Посетите chrome://plugins/ или about:plugins и отключите Java там.

Сделав это, чтобы убедиться, что Java отключена, я посетил демонстрационную страницу плагина Java. И действительно, это было отключено:

Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы Java была в вашей системе, если у вас ее абсолютно нет, потому что у нее так много новых эксплойтов.

Я также рекомендовал бы отключить любые плагины, которые вам абсолютно не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.

Answer 3

Одна небольшая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как та, на которую вы ссылаетесь.

Answer 4

Чтобы отключить только подключаемые модули Java, можно использовать параметр запуска -disable-java . Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает приятное сообщение

В вашей системе не было обнаружено рабочей Java. Установите Java, нажав кнопку ниже.

О других коммутаторах можно прочитать в Руководстве пользователя Power для Google Chrome. Есть и другая полезная информация.

Answer 5

Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:

• Secunia PSI/VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
• Microsoft EMET для предотвращения переполнения стека и тому подобного
• BufferZone для защиты от привода установщиками
• Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему /выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые издержки - но когда у вас есть только одна машина в вашем распоряжении ...)

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них), вы можете использовать инструментарий социальной инженерии.

Answer 6

Вместо того, чтобы отключить плагин в Chrome, есть еще одна возможность настроить Java, чтобы отключить его для всех браузеров.

Для этого:

1. Откройте панель управления Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Перейти на вкладку Безопасность
3. Снимите флажок "Включить содержимое Java в браузере"
4. Java говорит вам, что он вступит в силу после перезапуска браузера (ов)