Pregunta Deshabilitar el complemento de Java en Google Chrome?


Este es el segundo vez que tengo instalado un drive-by ejecutable en mi máquina usando lo siguiente:

  • Google Chrome 6 (último)
  • Windows 7, UAC en

Esto sucedió mientras buscaba imágenes para agregar a una publicación de gaming.se; uno de los sitios que visité (para obtener una imagen de un cable de transferencia) debe haber ejecutado el código de exploit de navegador drive-by.

UAC me alertó de que un ejecutable temporal extraño quería correr, y lo rechacé, pero todavía Obtuve el antivirus falso ejecutable en mi máquina. Suspiro..

Tengo Java instalado porque cargo cosas mensualmente en clearbits.net y su uploader es un plugin de Java. Así que mi mejor suposición es que los sitios web están haciendo instalaciones drive-by utilizando el un gran número de vulnerabilidades de día cero en los complementos del navegador Java.

Por ahora, desinstalé Java, que funciona. Pero me preguntaba si podría desactivar el complemento de Java en Google Chrome en lugar.

Entonces, ¿cómo se desactivan estos plugins vulnerables en Google Chrome? No puedo encontrar la IU.


154


origen


¿Cómo detectó este ejecutable drive-by? - Leonel
Siempre puede ver si sus complementos deben actualizarse aquí: mozilla.com/en-US/plugincheck - travis
@ papel que utilicé microsoft.com/security_essentials - Jeff Atwood
Obtuve algo similar de un PDF el otro día ... y para colmo, si solo hubiera recordado que no había tenido la intención de abrir uno, ¡podría haberlo evitado! - SamB
¿Cómo sabes que era una vulnerabilidad en Java y no una vulnerabilidad en webkit? - BlueRaja - Danny Pflughoeft


Respuestas:


Para Java específicamente, Chrome ahora desactiva Java por defecto en todas las páginas y le solicita que permita que se ejecute cada vez que un sitio lo necesite.

Para problemas de plugins más generales, Chrome le permite bloquear completamente todos los complementos en todos los sitios, y luego le permite activarlos selectivamente en una página sin tener que volver a cargarlos. También puede configurar excepciones para URL particulares.

Para habilitar esto, en la sección Complementos de la URL de configuración: chrome://settings/content selecciona "Bloquear todo".

Con esta opción habilitada, cuando desea ejecutar complementos en una página, tiene 3 opciones:

  • Haga clic derecho en el complemento y seleccione "Ejecutar este complemento" en el menú contextual
  • Haga clic en el ícono del complemento en la barra de URL y seleccione "Ejecutar todos los complementos esta vez".
  • Agregue una excepción para los sitios en los que confía para que puedan ejecutar complementos sin su permiso explícito cada vez

Chrome también tiene una configuración de "Haga clic para reproducir" que se oculta detrás de una bandera en algunas versiones de Chrome. Como se mencionó en el comentario, esta opción es vulnerable a los ataques de clickjacking, por lo que desaconsejaría su uso. Está mejor con la función "Bloquear todo".


136





Encontré una solicitud de error / función muy antigua en Google Chrome aquí.
Aparece en Chrome 6.0 o posterior. Visitar chrome://plugins/ o about:plugins y desactivar Java allí.

alt text

Una vez que hice esto, asegurarse Java estaba deshabilitado, visité un Página de demostración del complemento de Java. Y de hecho estaba deshabilitado:

alt text

Pero mi recomendación general es desinstalar Java - usted De Verdad no quiero Java en tu sistema a menos que tengas que tenerlo de forma absoluta y positiva ... porque hay muchos exploits nuevos para él.

También recomendaría deshabilitar los complementos que no necesites absolutamente. Cada complemento habilitado es una superficie de ataque, y otra cosa más que necesita mantenerse actualizado.


73



Terminé deshabilitando como 15 complementos que no sabía que tenía ... - juan
¿No podría simplemente ingresar y eliminar las DLL de plugin "netscape" (e IE, supongo), en lugar de desinstalar todo? - SamB
Oracle, en su sabiduría, ha roto esos enlaces de sun.com. Busqué en Google "Java applet demo" y probé el primer enlace que no sea de sol. Sí, parece que Chrome moderna desactiva Java de forma predeterminada. - Jason
Empezar desde la página de complementos de Chrome 57 no es más accesible. - anton_rh


Un pequeño truco que uso con Java es buscar e instalar solo la versión x64, que solo uso cuando enciendo IE x64 para usar aplicaciones exclusivas de Java como la que hace referencia.


31



oh hombre, eso es un consejo increíble; Uso IE 64 bit de forma similar cuando quiero probar en "navegador que nunca uso pero que aún funciona" - Jeff Atwood


Para deshabilitar solo los complementos de Java, uno puede usar -disable-java interruptor de inicio. Ejemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegando hacia http://java.com/en/download/help/testvm.xml después de un reinicio del navegador da el bonito mensaje

No se detectó Java en funcionamiento en su sistema. Instale Java haciendo clic en el botón de abajo.

Uno puede leer sobre otros interruptores en La Guía del usuario avanzado de Google Chrome. También hay otra información útil.


10





Aunque puede ser una solución fácil, solo bloquear suficientemente a Java, si está a favor de un enfoque más holístico, es posible que prefiera usar una combinación de:

  • Secunia PSI/EMPUJE para la notificación de actualizaciones, vulnerabilidades y actualizaciones automáticas
  • Microsoft EMET para prevenir desbordamientos de pila y similares
  • Zona de amortiguamiento para la protección de la unidad de los instaladores
  • Cuentas virtuales iCore para los momentos en que necesita caminar por el lado oscuro de la red en una máquina de producción (es un poco incómodo iniciar / cerrar sesión y utiliza la semi-virtualización, por lo que hay una sobrecarga, pero cuando solo tiene una máquina a su disposición ... )

Esto debería protegerlo de más que solo vulnerabilidades Java.

Para medir la efectividad de estos enfoques (EMET por sí solo parece detener el 90% de ellos) es posible que desee utilizar el Kit de herramientas de ingeniería social.


9





En lugar de deshabilitar el complemento en Chrome, otra posibilidad es configurar Java para deshabilitarlo para todos los navegadores.

Para hacer eso:

  1. Abra el Panel de control de Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Ir a la pestaña Seguridad
  3. Desmarque "Habilitar contenido Java en el navegador"
  4. Java le informa que entrará en vigencia luego de reiniciar el (los) navegador (es)

0