Disabilitare il plugin Java in Google Chrome?

157

Questa è la seconda volta che sul mio computer è installato un eseguibile drive-by che utilizza:

  • Google Chrome 6 (più recente)
  • Windows 7, Controllo account utente attivo

Questo è successo mentre cercavo immagini da aggiungere a un post su gaming.se; uno dei siti che ho visitato (per ottenere un'immagine di un cavo di trasferimento) deve avere il codice di exploit del browser drive-by in esecuzione.

Il Controllo account utente mi ha avvisato che voleva eseguire uno strano eseguibile temporaneo e ho rifiutato, ma ho ancora il falso eseguibile antivirus in esecuzione sul mio computer. Sospiro..

Ho Java installato perché carico le cose mensilmente su clearbits.net e il loro uploader è un plugin Java. Quindi la mia ipotesi migliore è che i siti Web stanno eseguendo installazioni drive-by utilizzando il numero enorme di vulnerabilità zero-day nei plugin del browser Java .

Per ora, ho disinstallato Java, che funziona. Ma mi chiedevo se avrei potuto disabilitare il plugin Java in Google Chrome .

Quindi, come si disabilitano questi plugin vulnerabili in Google Chrome? Non riesco a trovare l'interfaccia utente.

google-chrome  java  plugins  vulnerabilities 
Jeff Atwood
fonte
8
Come hai rilevato questo eseguibile drive-by?
Leonel,
5
Puoi sempre vedere se i plug-in devono essere aggiornati qui: mozilla.com/en-US/plugincheck
travis
3
Jeff Atwood il
1
L'altro giorno ho ricevuto una cosa simile da un PDF ... e per finire, se solo avessi ricordato che non avevo intenzione di aprirne uno, avrei potuto evitarlo!
SamB,
1
Come fai a sapere che era una vulnerabilità in Java e non una vulnerabilità in webkit?
BlueRaja - Danny Pflughoeft,

Risposte:

136

In particolare per Java, Chrome ora disabilita Java per impostazione predefinita su tutte le pagine e richiede di consentirne l'esecuzione ogni volta che un sito ne ha bisogno.

Per preoccupazioni più generali sui plug-in, Chrome ti consente di bloccare completamente tutti i plug-in su tutti i siti, quindi ti consente di abilitarli selettivamente su una pagina senza ricaricarla. Puoi anche configurare eccezioni per determinati URL.

Per abilitarlo, nella sezione Plug-in dell'URL delle impostazioni: chrome://settings/contentselezionare "Blocca tutto".

Con questa opzione abilitata, quando vuoi eseguire plugin in una pagina hai 3 opzioni:

  • Fai clic con il tasto destro sul plugin e scegli "Esegui questo plug-in" dal menu contestuale
  • Fai clic sull'icona del plug-in nella barra degli URL e scegli "Esegui tutti i plug-in questa volta
  • Aggiungi un'eccezione per i siti di cui ti fidi in modo che possano eseguire plug-in senza la tua esplicita autorizzazione ogni volta

Chrome ha anche un'impostazione "Fai clic per giocare" che è nascosta dietro una bandiera in alcune versioni di Chrome. Come accennato da un commentatore, questa opzione è vulnerabile agli attacchi clickjacking, quindi sconsiglio di utilizzarla. Stai meglio con la funzione "Blocca tutto".

Dan Herbert
fonte
73

Ho trovato una richiesta di bug / funzionalità davvero vecchia su Google Chrome qui .
Appare in Chrome 6.0 o versioni successive. Visita chrome://plugins/o about:pluginsdisabilita Java lì.

testo alternativo

Una volta fatto questo, per assicurarmi che Java fosse disabilitato, ho visitato una pagina demo del plugin Java . E infatti è stato disabilitato:

testo alternativo

Ma la mia raccomandazione generale è quella di disinstallare Java - davvero non vuoi Java sul tuo sistema a meno che tu non debba assolutamente, positivamente averlo .. perché ci sono così tanti nuovi exploit per esso.

Consiglierei anche di disabilitare tutti i plugin che non ti servono assolutamente. Ogni plugin abilitato è una superficie di attacco, e ancora un'altra cosa che deve essere mantenuta aggiornata.

Jeff Atwood
fonte
17
Ho finito con la disabilitazione come 15 plugin che non sapevo di avere ...
juan
Non potresti semplicemente entrare ed eliminare le DLL del plug-in "netscape" (e IE, suppongo), piuttosto che disinstallare tutto?
SamB,
1
Oracle, nella loro saggezza, ha interrotto i collegamenti di sun.com. Ho cercato su Google "demo dell'applet Java" e ho provato il primo link non solare. Sì, sembra che Chrome moderno disabiliti Java per impostazione predefinita.
Jason,
A partire dalla pagina dei plugin di Chrome 57 non è più accessibile.
anton_rh
31

Un piccolo trucco che uso con Java è quello di cercare e installare solo la versione x64, che uso solo quando accendo IE x64 per utilizzare solo le app Java come quella a cui fai riferimento.

CoreyH
fonte
7
oh amico che è un suggerimento fantastico; Uso IE 64 bit in modo simile quando voglio testare in "browser che non uso mai ma funziona ancora"
Jeff Atwood,
10

Per disabilitare solo i plugin Java è possibile utilizzare l' -disable-javaopzione di avvio. Esempio:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navigare su http://java.com/en/download/help/testvm.xml dopo un riavvio del browser dà il bel messaggio

Nessun Java funzionante è stato rilevato sul tuo sistema. Installa Java facendo clic sul pulsante in basso.

Si può leggere di altri switch nella Guida dell'utente di Power a Google Chrome . Ci sono anche altre informazioni utili.

Bobrovsky
fonte
10

Sebbene possa essere una soluzione semplice, bloccando sufficientemente Java, se sei a favore di un approccio più olistico potresti preferire utilizzare una combinazione di:

  • Secunia PSI / VIM per la notifica di aggiornamenti, vulnerabilità e aggiornamenti automatici
  • Microsoft EMET per la prevenzione di overflow dello stack e simili
  • BufferZone per protezione dall'azionamento da parte degli installatori
  • Account virtuali iCore per i momenti in cui è necessario percorrere il lato oscuro della rete su una macchina di produzione (è un po 'scomodo accedere / disconnettersi e utilizza la semi-virtualizzazione, quindi c'è un sovraccarico, ma quando si ha solo una macchina a disposizione ...)

Questo dovrebbe proteggerti da più che semplici vulnerabilità di Java.

Per misurare l'efficacia di questi approcci (EMET da solo sembra fermare il 90% di questi) potresti voler usare il Social Engineering Toolkit .

Metalshark
fonte
0

Invece di disabilitare il plugin in Chrome, un'altra possibilità è configurare Java per disabilitarlo per tutti i browser.

Fare quello:

  1. Apri il pannello di controllo Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Vai alla scheda Sicurezza
  3. Deseleziona "Abilita contenuto Java nel browser"
  4. Java ti dice che avrà effetto dopo il riavvio del browser
Oriol
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.