Отключить плагин Java в Google Chrome?

Это второй раз, когда на моей машине установлен исполняемый файл drive-by, использующий следующее:

• Google Chrome 6 (последняя версия)
• Windows 7, UAC включен

Это произошло, когда я просматривал изображения для добавления в пост gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение кабеля для передачи), должен был быть запущен код эксплойта для браузера.

UAC предупредил меня о том, что нужно запустить странный временный исполняемый файл, и я отказался, но на моем компьютере все еще работает поддельный исполняемый файл антивируса. Вздох..

У меня действительно установлена ​​Java, потому что я загружаю вещи ежемесячно на clearbits.net, и их загрузчик является плагином Java. Таким образом, я думаю, что веб-сайты выполняют установку «на машине», используя огромное количество уязвимостей нулевого дня в плагинах браузера Java .

На данный момент я удалил Java, который работает. Но мне стало интересно, смогу ли я вместо этого отключить плагин Java в Google Chrome .

Итак, как отключить эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.

В частности, для Java Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам запускать его каждый раз, когда сайт нуждается в этом.

Для более общих проблем с плагинами, Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе «Плагины» URL-адреса настроек: chrome://settings/contentвыберите «Заблокировать все».

Если эта опция включена, когда вы хотите запускать плагины на странице, у вас есть 3 варианта:

• Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» из контекстного меню.
• Нажмите на значок плагина в строке URL и выберите «Запустить все плагины на этот раз».
• Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

В Chrome также есть настройка «Нажмите для воспроизведения», которая в некоторых версиях Chrome скрывается за флагом. Как упомянул комментатор, эта опция уязвима для атак с помощью кликбэк, поэтому я бы посоветовал не использовать ее. Вам лучше с функцией «Блокировать все».

Я нашел действительно старый запрос об ошибке / функции в Google Chrome здесь .
Это появляется в Chrome 6.0 или позже. Посетите chrome://plugins/или about:pluginsи отключите Java там.

Сделав это, чтобы убедиться, что Java отключена, я посетил демонстрационную страницу плагина Java . И действительно, это было отключено:

Но моя общая рекомендация состоит в том, чтобы удалить Java - вы действительно не хотите, чтобы Java в вашей системе, если вы абсолютно, безусловно, должны иметь ее ... потому что есть так много новых эксплойтов для нее.

Я также рекомендовал бы отключить любые плагины, которые вам не нужны. Каждый включенный плагин - это поверхность атаки, и еще одна вещь, которую нужно постоянно обновлять.

Одна маленькая хитрость, которую я использую с Java, - это поиск и установка только версии x64, которую я использую только при запуске IE x64, чтобы использовать одноразовые приложения только для Java, такие как та, на которую вы ссылаетесь.

Чтобы отключить только плагины Java, можно использовать -disable-javaпереключатель запуска. Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает приятное сообщение

В вашей системе не было обнаружено работающей Java. Установите Java, нажав кнопку ниже.

О других коммутаторах можно прочитать в Руководстве пользователя Power для Google Chrome . Есть и другая полезная информация.

Хотя это может быть легко исправить, просто достаточно заблокировав Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию из:

• Secunia PSI / VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
• Microsoft EMET для предотвращения переполнения стека и тому подобного
• BufferZone для защиты от привода установщиками
• Виртуальные учетные записи iCore для случаев, когда вам нужно пройти темную сторону сети на производственном компьютере (вход в систему / выход из системы немного неудобен и использует полу-виртуализацию, поэтому есть некоторые издержки - но когда у вас есть только одна машина в вашем распоряжении ...)

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (кажется, что только EMET останавливает 90% из них), вы можете использовать инструментарий социальной инженерии .

Вместо того, чтобы отключить плагин в Chrome, другой возможностью является настройка Java для отключения его для всех браузеров.

Для этого:

1. Открыть панель управления Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Перейти на вкладку Безопасность
3. Снимите флажок «Включить содержимое Java в браузере»
4. Java говорит вам, что он вступит в силу после перезапуска браузера (ов)