Wyłączyć wtyczkę Java w Google Chrome?

To już drugi raz, gdy na moim komputerze jest zainstalowany plik wykonywalny drive-by:

• Google Chrome 6 (najnowszy)
• Windows 7, UAC włączony

Stało się tak, gdy przeglądałem obrazy, które można dodać do postu gaming.se; w jednej z witryn, które odwiedziłem (aby uzyskać obraz kabla przesyłowego), musiał być uruchomiony kod wykorzystujący przeglądarkę drive-by.

UAC powiadomił mnie, że dziwny tymczasowy plik wykonywalny chce uruchomić, a ja odmówiłem, ale nadal mam na komputerze fałszywy plik wykonywalny antywirusowy. Westchnienie..

Mam zainstalowaną Javę, ponieważ co miesiąc przesyłam pliki do clearbits.net, a ich przesyłającym jest wtyczka Java. Sądzę, że strony internetowe wykonują instalacje typu drive-by, korzystając z ogromnej liczby luk w zabezpieczeniach zero-day we wtyczkach przeglądarki Java .

Na razie odinstalowałem Javę, która działa. Zastanawiałem się, czy zamiast tego mogę wyłączyć wtyczkę Java w Google Chrome .

Jak więc wyłączyć te wrażliwe wtyczki w Google Chrome? Nie mogę znaleźć interfejsu użytkownika.

W przypadku Javy Chrome teraz domyślnie wyłącza Javę na wszystkich stronach i wyświetla monit o zezwolenie na jej uruchomienie za każdym razem, gdy witryna tego potrzebuje.

W przypadku bardziej ogólnych problemów z wtyczkami Chrome pozwala całkowicie zablokować wszystkie wtyczki we wszystkich witrynach, a następnie umożliwia selektywne włączanie ich na stronie bez ponownego ładowania. Możesz także skonfigurować wyjątki dla określonych adresów URL.

Aby to włączyć, w sekcji Wtyczki w ustawieniach URL: chrome://settings/contentwybierz „Blokuj wszystko”.

Po włączeniu tej opcji, jeśli chcesz uruchomić wtyczki na stronie, masz 3 opcje:

• Kliknij prawym przyciskiem myszy wtyczkę i wybierz „Uruchom tę wtyczkę” z menu kontekstowego
• Kliknij ikonę wtyczki na pasku adresu i wybierz „Tym razem uruchom wszystkie wtyczki
• Dodaj wyjątek dla witryn, którym ufasz, aby za każdym razem mogły uruchamiać wtyczki bez Twojej wyraźnej zgody

Chrome ma również ustawienie „Kliknij, aby odtworzyć”, które jest ukryte za flagą w niektórych wersjach Chrome. Jak wspomniał komentator, ta opcja jest podatna na ataki typu clickjacking, więc odradzam jej używanie. Lepiej jest z funkcją „Blokuj wszystko”.

Znalazłem bardzo starą żądania bug / funkcji w Google Chrome tutaj .
Pojawia się w przeglądarce Chrome 6.0 lub nowszej. Odwiedź chrome://plugins/lub about:pluginswyłącz Java tam.

Gdy to zrobiłem, aby upewnić się, że Java jest wyłączona, odwiedziłem stronę demonstracyjną wtyczki Java . I rzeczywiście został wyłączony:

Ale moim ogólnym zaleceniem jest odinstalowanie Javy - naprawdę nie chcesz Javy w swoim systemie, chyba że absolutnie, pozytywnie musisz ją mieć ... ponieważ jest tak wiele nowych exploitów.

Poleciłbym również wyłączenie wszelkich wtyczek, których absolutnie nie potrzebujesz. Każda włączona wtyczka jest powierzchnią ataku, a jeszcze jedna rzecz wymaga aktualizacji.

Jedną małą sztuczką, której używam w Javie, jest polowanie i instalowanie tylko wersji x64, której używam tylko po uruchomieniu IE x64, aby korzystać z jednorazowych aplikacji Java, takich jak ta, do której się odwołujesz.

Aby wyłączyć tylko wtyczki Java, można użyć -disable-javaprzełącznika uruchamiania. Przykład:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Przejście do http://java.com/en/download/help/testvm.xml po ponownym uruchomieniu przeglądarki daje miłą wiadomość

W systemie nie wykryto działającej Java. Zainstaluj Javę, klikając przycisk poniżej.

O innych przełącznikach można przeczytać w The Power User Guide to Google Chrome . Są też inne przydatne informacje.

Chociaż może to być łatwa poprawka, po prostu wystarczająco blokująca Javę, jeśli popierasz bardziej holistyczne podejście, możesz preferować kombinację:

• Secunia PSI / VIM do powiadamiania o aktualizacjach, podatnościach i automatycznych aktualizacjach
• Microsoft EMET do zapobiegania przepełnieniu stosu i tym podobne
• BufferZone dla ochrony przed napędem przez instalatorów
• Konta wirtualne iCore na czas, gdy trzeba przejść po ciemnej stronie sieci na maszynie produkcyjnej (logowanie / wylogowanie jest nieco niewygodne i wykorzystuje pół-wirtualizację, więc jest pewne obciążenie ogólne - ale gdy masz do dyspozycji tylko jedną maszynę ...)

To powinno chronić cię przed nie tylko lukami w Javie.

Aby zmierzyć skuteczność tych podejść (sam EMET wydaje się powstrzymywać 90% z nich), możesz skorzystać z zestawu narzędzi do inżynierii społecznej .

Zamiast wyłączać wtyczkę w Chrome, inną możliwością jest konfiguracja Java w celu wyłączenia jej dla wszystkich przeglądarek.

Aby to zrobić:

1. Otwórz Java Control Panel ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Przejdź do zakładki Bezpieczeństwo
3. Odznacz „Włącz zawartość Java w przeglądarce”
4. Java informuje, że zacznie obowiązywać po ponownym uruchomieniu przeglądarki