Desativar o plug-in Java no Google Chrome?

Esta é a segunda vez que um executável drive-by está instalado na minha máquina usando o seguinte:

• Google Chrome 6 (mais recente)
• Windows 7, UAC ativado

Isso aconteceu enquanto eu procurava imagens para adicionar a uma postagem gaming.se; um dos sites que visitei (para obter uma imagem de um cabo de transferência) deve ter o código de exploração do navegador drive-by em execução.

O UAC me alertou que um executável temporário estranho queria executar, e eu recusei, mas ainda consegui o executável antivírus falso em execução na minha máquina. Suspiro..

Eu tenho o Java instalado porque carrego coisas mensalmente no clearbits.net e o uploader é um plug-in Java. Portanto, meu melhor palpite é que os sites estão realizando instalações drive-by usando o grande número de vulnerabilidades de dia zero nos plug-ins do navegador Java .

Por enquanto, eu desinstalei o Java, que funciona. Mas me perguntei se poderia desativar o plug-in Java no Google Chrome .

Então, como você desabilita esses plugins vulneráveis ​​no Google Chrome? Não consigo encontrar a interface do usuário.

Para Java especificamente, o Chrome agora desativa o Java por padrão em todas as páginas e solicita que você permita que ele seja executado sempre que um site precisar.

Para preocupações mais gerais sobre plug-ins, o Chrome permite bloquear todos os plug-ins em todos os sites completamente e, em seguida, permite ativá-los seletivamente em uma página sem recarregá-lo. Você também pode configurar exceções para URLs específicos.

Para habilitar isso, na seção Plug-ins do URL de configurações: chrome://settings/contentselecione "Bloquear tudo".

Com esta opção ativada, quando você deseja executar plug-ins em uma página, você tem 3 opções:

• Clique com o botão direito do mouse no plug-in e escolha "Executar este plug-in" no menu de contexto
• Clique no ícone do plug-in na barra de URL e escolha "Executar todos os plug-ins desta vez
• Adicione uma exceção aos sites em que você confia, para que eles possam executar plug-ins sem sua permissão explícita sempre

O Chrome também possui uma configuração "Clique para reproduzir", oculta por trás de uma bandeira em algumas versões do Chrome. Como um comentarista mencionado, esta opção é vulnerável a ataques de clickjacking, portanto, eu desaconselharia usá-la. Você está melhor com o recurso "Bloquear tudo".

Encontrei uma solicitação de bug / recurso muito antiga no Google Chrome aqui .
Ele aparece no Chrome 6.0 ou posterior. Visite chrome://plugins/ou about:pluginsdesative o Java lá.

Depois de fazer isso, para garantir que o Java estava desativado, visitei uma página de demonstração do plugin Java . E de fato foi desativado:

Mas minha recomendação geral é desinstalar o Java - você realmente não quer o Java no seu sistema, a menos que seja absolutamente necessário, positivamente. Porque existem muitas explorações novas para ele.

Eu também recomendaria desativar todos os plugins que você não precisa absolutamente. Todo plug-in ativado é uma superfície de ataque, e mais uma coisa que precisa ser mantida atualizada.

Um pequeno truque que eu uso com Java é procurar e instalar apenas a versão x64, que eu só uso quando ligo o IE x64 para usar os aplicativos únicos e únicos em Java, como o que você mencionou.

Para desativar apenas os plug-ins Java, é possível usar o -disable-javaswitch de inicialização. Exemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegar para http://java.com/en/download/help/testvm.xml após uma reinicialização do navegador dá a boa mensagem

Nenhum Java ativo foi detectado no seu sistema. Instale o Java clicando no botão abaixo.

Pode-se ler sobre outras opções no Guia do Usuário Avançado do Google Chrome . Também há outras informações úteis.

Embora possa ser uma solução fácil, basta bloquear o Java suficientemente, se você é a favor de uma abordagem mais holística, pode preferir usar uma combinação de:

• Secunia PSI / VIM para notificação de atualizações, vulnerabilidades e atualizações automáticas
• Microsoft EMET para evitar estouros de pilha e similares
• BufferZone para proteção da unidade pelos instaladores
• Contas Virtuais do iCore para momentos em que você precisa percorrer o lado obscuro da rede em uma máquina de produção (é um pouco inconveniente para fazer login / logout e usa semi-virtualização para que haja alguma sobrecarga - mas quando você tem apenas uma máquina à sua disposição ...)

Isso deve protegê-lo de mais do que apenas vulnerabilidades Java.

Para medir a eficácia dessas abordagens (apenas o EMET parece impedir 90% delas), convém usar o Social Engineering Toolkit .

Em vez de desativar o plug-in no Chrome, outra possibilidade é configurar o Java para desativá-lo em todos os navegadores.

Fazer isso:

1. Abra o Painel de Controle Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Vá para a guia Segurança
3. Desmarque a opção "Ativar conteúdo Java no navegador"
4. Java informa que ele entrará em vigor após reiniciar o (s) navegador (s)