Desativar o plug-in Java no Google Chrome?


157

Esta é a segunda vez que um executável drive-by está instalado na minha máquina usando o seguinte:

  • Google Chrome 6 (mais recente)
  • Windows 7, UAC ativado

Isso aconteceu enquanto eu procurava imagens para adicionar a uma postagem gaming.se; um dos sites que visitei (para obter uma imagem de um cabo de transferência) deve ter o código de exploração do navegador drive-by em execução.

O UAC me alertou que um executável temporário estranho queria executar, e eu recusei, mas ainda consegui o executável antivírus falso em execução na minha máquina. Suspiro..

Eu tenho o Java instalado porque carrego coisas mensalmente no clearbits.net e o uploader é um plug-in Java. Portanto, meu melhor palpite é que os sites estão realizando instalações drive-by usando o grande número de vulnerabilidades de dia zero nos plug-ins do navegador Java .

Por enquanto, eu desinstalei o Java, que funciona. Mas me perguntei se poderia desativar o plug-in Java no Google Chrome .

Então, como você desabilita esses plugins vulneráveis ​​no Google Chrome? Não consigo encontrar a interface do usuário.


8
Como você detectou esse executável drive-by?
Leonel

5
Você sempre pode ver se seus plug-ins precisam ser atualizados aqui: mozilla.com/en-US/plugincheck
travis


1
Recebi uma coisa semelhante de um PDF outro dia ... e ainda por cima, se eu tivesse lembrado que não tinha a intenção de abrir uma, poderia ter evitado!
SamB

1
Como você sabe que era uma vulnerabilidade em Java e não uma vulnerabilidade no webkit?
BlueRaja - Danny Pflughoeft

Respostas:


136

Para Java especificamente, o Chrome agora desativa o Java por padrão em todas as páginas e solicita que você permita que ele seja executado sempre que um site precisar.

Para preocupações mais gerais sobre plug-ins, o Chrome permite bloquear todos os plug-ins em todos os sites completamente e, em seguida, permite ativá-los seletivamente em uma página sem recarregá-lo. Você também pode configurar exceções para URLs específicos.

Para habilitar isso, na seção Plug-ins do URL de configurações: chrome://settings/contentselecione "Bloquear tudo".

Com esta opção ativada, quando você deseja executar plug-ins em uma página, você tem 3 opções:

  • Clique com o botão direito do mouse no plug-in e escolha "Executar este plug-in" no menu de contexto
  • Clique no ícone do plug-in na barra de URL e escolha "Executar todos os plug-ins desta vez
  • Adicione uma exceção aos sites em que você confia, para que eles possam executar plug-ins sem sua permissão explícita sempre

O Chrome também possui uma configuração "Clique para reproduzir", oculta por trás de uma bandeira em algumas versões do Chrome. Como um comentarista mencionado, esta opção é vulnerável a ataques de clickjacking, portanto, eu desaconselharia usá-la. Você está melhor com o recurso "Bloquear tudo".


73

Encontrei uma solicitação de bug / recurso muito antiga no Google Chrome aqui .
Ele aparece no Chrome 6.0 ou posterior. Visite chrome://plugins/ou about:pluginsdesative o Java lá.

texto alternativo

Depois de fazer isso, para garantir que o Java estava desativado, visitei uma página de demonstração do plugin Java . E de fato foi desativado:

texto alternativo

Mas minha recomendação geral é desinstalar o Java - você realmente não quer o Java no seu sistema, a menos que seja absolutamente necessário, positivamente. Porque existem muitas explorações novas para ele.

Eu também recomendaria desativar todos os plugins que você não precisa absolutamente. Todo plug-in ativado é uma superfície de ataque, e mais uma coisa que precisa ser mantida atualizada.


17
Acabei incapacitante como 15 plugins que eu não sabia que eu tinha ...
juan

Você não poderia simplesmente excluir as DLLs de plug-in "netscape" (e IE, suponho), em vez de desinstalar tudo?
SamB

1
A Oracle, em sua sabedoria, quebrou os links do sun.com. Eu pesquisei "demo de applet java" no Google e tentei o primeiro link não-solar. Sim, parece que o Chrome moderno desativa o Java por padrão.
Jason

A partir da página de plug-ins do Chrome 57 não é mais acessível.
anton_rh 31/05

31

Um pequeno truque que eu uso com Java é procurar e instalar apenas a versão x64, que eu só uso quando ligo o IE x64 para usar os aplicativos únicos e únicos em Java, como o que você mencionou.


7
oh cara, essa é uma dica incrível; Eu uso o IE 64 bits de maneira semelhante quando quero testar no "navegador que eu nunca uso, mas ainda funciona"
Jeff Atwood

10

Para desativar apenas os plug-ins Java, é possível usar o -disable-javaswitch de inicialização. Exemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegar para http://java.com/en/download/help/testvm.xml após uma reinicialização do navegador dá a boa mensagem

Nenhum Java ativo foi detectado no seu sistema. Instale o Java clicando no botão abaixo.

Pode-se ler sobre outras opções no Guia do Usuário Avançado do Google Chrome . Também há outras informações úteis.


10

Embora possa ser uma solução fácil, basta bloquear o Java suficientemente, se você é a favor de uma abordagem mais holística, pode preferir usar uma combinação de:

  • Secunia PSI / VIM para notificação de atualizações, vulnerabilidades e atualizações automáticas
  • Microsoft EMET para evitar estouros de pilha e similares
  • BufferZone para proteção da unidade pelos instaladores
  • Contas Virtuais do iCore para momentos em que você precisa percorrer o lado obscuro da rede em uma máquina de produção (é um pouco inconveniente para fazer login / logout e usa semi-virtualização para que haja alguma sobrecarga - mas quando você tem apenas uma máquina à sua disposição ...)

Isso deve protegê-lo de mais do que apenas vulnerabilidades Java.

Para medir a eficácia dessas abordagens (apenas o EMET parece impedir 90% delas), convém usar o Social Engineering Toolkit .


0

Em vez de desativar o plug-in no Chrome, outra possibilidade é configurar o Java para desativá-lo em todos os navegadores.

Fazer isso:

  1. Abra o Painel de Controle Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Vá para a guia Segurança
  3. Desmarque a opção "Ativar conteúdo Java no navegador"
  4. Java informa que ele entrará em vigor após reiniciar o (s) navegador (s)
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.