Wyłączyć wtyczkę Java w Google Chrome?

157

To już drugi raz, gdy na moim komputerze jest zainstalowany plik wykonywalny drive-by:

  • Google Chrome 6 (najnowszy)
  • Windows 7, UAC włączony

Stało się tak, gdy przeglądałem obrazy, które można dodać do postu gaming.se; w jednej z witryn, które odwiedziłem (aby uzyskać obraz kabla przesyłowego), musiał być uruchomiony kod wykorzystujący przeglądarkę drive-by.

UAC powiadomił mnie, że dziwny tymczasowy plik wykonywalny chce uruchomić, a ja odmówiłem, ale nadal mam na komputerze fałszywy plik wykonywalny antywirusowy. Westchnienie..

Mam zainstalowaną Javę, ponieważ co miesiąc przesyłam pliki do clearbits.net, a ich przesyłającym jest wtyczka Java. Sądzę, że strony internetowe wykonują instalacje typu drive-by, korzystając z ogromnej liczby luk w zabezpieczeniach zero-day we wtyczkach przeglądarki Java .

Na razie odinstalowałem Javę, która działa. Zastanawiałem się, czy zamiast tego mogę wyłączyć wtyczkę Java w Google Chrome .

Jak więc wyłączyć te wrażliwe wtyczki w Google Chrome? Nie mogę znaleźć interfejsu użytkownika.

Jeff Atwood
źródło
8
Jak wykryłeś ten plik wykonywalny drive-by?
Leonel,
5
Zawsze możesz sprawdzić, czy wtyczki wymagają aktualizacji tutaj: mozilla.com/en-US/plugincheck
travis,
3
@paper Użyłem microsoft.com/security_essentials
Jeff Atwood
1
Kiedyś dostałem podobną rzecz z pliku PDF ... a na dodatek, gdybym tylko pamiętał, że nie chciałem go otworzyć, mógłbym tego uniknąć!
SamB,
1
Skąd wiesz, że była to luka w zabezpieczeniach Java, a nie luka w pakiecie internetowym?
BlueRaja - Danny Pflughoeft

Odpowiedzi:

137

W przypadku Javy Chrome teraz domyślnie wyłącza Javę na wszystkich stronach i wyświetla monit o zezwolenie na jej uruchomienie za każdym razem, gdy witryna tego potrzebuje.

W przypadku bardziej ogólnych problemów z wtyczkami Chrome pozwala całkowicie zablokować wszystkie wtyczki we wszystkich witrynach, a następnie umożliwia selektywne włączanie ich na stronie bez ponownego ładowania. Możesz także skonfigurować wyjątki dla określonych adresów URL.

Aby to włączyć, w sekcji Wtyczki w ustawieniach URL: chrome://settings/contentwybierz „Blokuj wszystko”.

Po włączeniu tej opcji, jeśli chcesz uruchomić wtyczki na stronie, masz 3 opcje:

  • Kliknij prawym przyciskiem myszy wtyczkę i wybierz „Uruchom tę wtyczkę” z menu kontekstowego
  • Kliknij ikonę wtyczki na pasku adresu i wybierz „Tym razem uruchom wszystkie wtyczki
  • Dodaj wyjątek dla witryn, którym ufasz, aby za każdym razem mogły uruchamiać wtyczki bez Twojej wyraźnej zgody

Chrome ma również ustawienie „Kliknij, aby odtworzyć”, które jest ukryte za flagą w niektórych wersjach Chrome. Jak wspomniał komentator, ta opcja jest podatna na ataki typu clickjacking, więc odradzam jej używanie. Lepiej jest z funkcją „Blokuj wszystko”.

Dan Herbert
źródło
74

Znalazłem bardzo starą żądania bug / funkcji w Google Chrome tutaj .
Pojawia się w przeglądarce Chrome 6.0 lub nowszej. Odwiedź chrome://plugins/lub about:pluginswyłącz Java tam.

alternatywny tekst

Gdy to zrobiłem, aby upewnić się, że Java jest wyłączona, odwiedziłem stronę demonstracyjną wtyczki Java . I rzeczywiście został wyłączony:

alternatywny tekst

Ale moim ogólnym zaleceniem jest odinstalowanie Javy - naprawdę nie chcesz Javy w swoim systemie, chyba że absolutnie, pozytywnie musisz ją mieć ... ponieważ jest tak wiele nowych exploitów.

Poleciłbym również wyłączenie wszelkich wtyczek, których absolutnie nie potrzebujesz. Każda włączona wtyczka jest powierzchnią ataku, a jeszcze jedna rzecz wymaga aktualizacji.

Jeff Atwood
źródło
17
Skończyło się na wyłączenie jak 15 wtyczek nie wiedziałem, miałem ...
juan
Czy nie możesz po prostu wejść i usunąć biblioteki DLL wtyczek „netscape” (i, jak sądzę, IE), zamiast odinstalować wszystko?
SamB,
1
W swojej mądrości Oracle złamało linki do sun.com. Poszukałem „demo apletu Java” i wypróbowałem pierwsze łącze inne niż Sun. Tak, wygląda na to, że nowoczesny Chrome domyślnie wyłącza Javę.
Jason
Począwszy od strony wtyczek Chrome 57 strona nie jest już dostępna.
anton_rh
32

Jedną małą sztuczką, której używam w Javie, jest polowanie i instalowanie tylko wersji x64, której używam tylko po uruchomieniu IE x64, aby korzystać z jednorazowych aplikacji Java, takich jak ta, do której się odwołujesz.

CoreyH
źródło
7
och, to niesamowita wskazówka; Używam IE 64-bitowego w podobny sposób, gdy chcę testować w „przeglądarce, której nigdy nie używam, ale nadal działa”
Jeff Atwood,
11

Aby wyłączyć tylko wtyczki Java, można użyć -disable-javaprzełącznika uruchamiania. Przykład:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Przejście do http://java.com/en/download/help/testvm.xml po ponownym uruchomieniu przeglądarki daje miłą wiadomość

W systemie nie wykryto działającej Java. Zainstaluj Javę, klikając przycisk poniżej.

O innych przełącznikach można przeczytać w The Power User Guide to Google Chrome . Są też inne przydatne informacje.

Bobrowski
źródło
10

Chociaż może to być łatwa poprawka, po prostu wystarczająco blokująca Javę, jeśli popierasz bardziej holistyczne podejście, możesz preferować kombinację:

  • Secunia PSI / VIM do powiadamiania o aktualizacjach, podatnościach i automatycznych aktualizacjach
  • Microsoft EMET do zapobiegania przepełnieniu stosu i tym podobne
  • BufferZone dla ochrony przed napędem przez instalatorów
  • Konta wirtualne iCore na czas, gdy trzeba przejść po ciemnej stronie sieci na maszynie produkcyjnej (logowanie / wylogowanie jest nieco niewygodne i wykorzystuje pół-wirtualizację, więc jest pewne obciążenie ogólne - ale gdy masz do dyspozycji tylko jedną maszynę ...)

To powinno chronić cię przed nie tylko lukami w Javie.

Aby zmierzyć skuteczność tych podejść (sam EMET wydaje się powstrzymywać 90% z nich), możesz skorzystać z zestawu narzędzi do inżynierii społecznej .

Metalshark
źródło
0

Zamiast wyłączać wtyczkę w Chrome, inną możliwością jest konfiguracja Java w celu wyłączenia jej dla wszystkich przeglądarek.

Aby to zrobić:

  1. Otwórz Java Control Panel ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Przejdź do zakładki Bezpieczeństwo
  3. Odznacz „Włącz zawartość Java w przeglądarce”
  4. Java informuje, że zacznie obowiązywać po ponownym uruchomieniu przeglądarki
Oriol
źródło