Отключить плагин Java в Google Chrome?
Это второй раз, когда на моей машине установлен исполняемый файл drive-by, использующий следующее:
- Google Chrome 6 (последняя версия)
- Windows 7, UAC включен
Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.
UAC предупредил меня о том, что нужно запустить странный временный исполняемый файл, и я отказался, но на моем компьютере все еще работает поддельный исполняемый файл антивируса. Вздох..
У меня действительно установлена Java, потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Таким образом, я думаю, что веб-сайты выполняют установку "на машине", используя огромное количество уязвимостей нулевого дня в плагинах браузера Java.
На данный момент я удалил Java, который работает. Но мне стало интересно, смогу ли я вместо этого отключить плагин Java в Google Chrome.
Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.
6 ответов
В частности, для Java Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.
Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.
Чтобы включить это, в разделе плагинов URL-адреса настроек: chrome://settings/content выберите "Заблокировать все".
Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:
- Щелкните правой кнопкой мыши плагин и выберите "Запустить этот плагин" из контекстного меню.
- Нажмите на значок плагина в строке URL и выберите "Запустить все плагины на этот раз".
- Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз
В Chrome также есть настройка "Нажмите для воспроизведения", которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с помощью кликбэк, поэтому я бы посоветовал не использовать ее. Вам лучше с функцией "Блокировать все".
Я нашел действительно старый запрос об ошибке / функции в Google Chrome здесь.
Это появляется в Chrome 6.0 или позже. Визит chrome://plugins/ или же about:plugins и отключить Java там.
Сделав это, чтобы убедиться, что Java отключена, я посетил демонстрационную страницу плагина Java. И действительно, это было отключено:
Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы Java в вашей системе, если вы абсолютно, безусловно, должны иметь ее... потому что есть так много новых эксплойтов для нее.
Я также рекомендовал бы отключить любые плагины, которые вам не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.
Одна маленькая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как та, на которую вы ссылаетесь.
Чтобы отключить только плагины Java, можно использовать -disable-java переключатель запуска. Пример:
"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java
Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает приятное сообщение
В вашей системе не было обнаружено рабочей Java. Установите Java, нажав кнопку ниже.
О других коммутаторах можно прочитать в Руководстве пользователя Power для Google Chrome. Есть и другая полезная информация.
Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:
- Secunia PSI/ VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
- Microsoft EMET для предотвращения переполнения стека и тому подобного
- BufferZone для защиты от привода установщиками
- Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему / выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые накладные расходы - но когда у вас есть только одна машина в вашем распоряжении...)
Это должно защитить вас от не только уязвимостей Java.
Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них), вы можете использовать инструментарий социальной инженерии.
Вместо того, чтобы отключить плагин в Chrome, другой возможностью является настройка Java для отключения его для всех браузеров.
Для этого:
- Откройте панель управления Java (
C:\Program Files\Java\jre7\bin\javacpl.exe) - Перейти на вкладку Безопасность
- Снимите флажок "Включить содержимое Java в браузере"
- Java говорит вам, что он вступит в силу после перезапуска браузера (ов)