Question Désactiver le plugin Java dans Google Chrome?


C'est le seconde fois que j'ai eu un exécutable drive-by installé sur ma machine en utilisant ce qui suit:

  • Google Chrome 6 (dernière version)
  • Windows 7, UAC sur

Cela s'est produit pendant que je cherchais des images à ajouter à un message de gaming.se; L'un des sites que j'ai visités (pour obtenir une image d'un câble de transfert) doit avoir un code d'exploitation de navigateur par lecteur en cours d'exécution.

UAC m'a averti qu'un exécutable temporaire étrange voulait courir, et j'ai refusé, mais je encore a fait fonctionner le faux exécutable antivirus sur ma machine. Soupir..

J'ai Java installé parce que je télécharge tous les mois vers clearbits.net et que leur uploader est un plugin Java. Donc, ma meilleure supposition est que les sites Web font installations par lecteur en utilisant le nombre massif de vulnérabilités du jour zéro dans les plug-ins du navigateur Java.

Pour l'instant, j'ai désinstallé Java, qui fonctionne. Mais je me demandais si je pouvais désactiver le plugin Java dans Google Chrome au lieu.

Alors, comment désactiver ces plugins vulnérables dans Google Chrome? Je ne trouve pas l'interface utilisateur.


154
2017-10-20 18:46


origine


Comment avez-vous détecté cet exécutable drive-by? - Leonel
Vous pouvez toujours voir si vos plug-ins doivent être mis à jour ici: mozilla.com/en-US/plugincheck - travis
@paper j'ai utilisé microsoft.com/security_essentials - Jeff Atwood
L'autre jour, j'ai reçu un fichier PDF similaire ... et pour couronner le tout, si je ne m'étais souvenu que je n'avais pas l'intention d'en ouvrir un, j'aurais pu l'éviter! - SamB
Comment savez-vous qu'il s'agissait d'une vulnérabilité dans Java et non d'une vulnérabilité dans Webkit? - BlueRaja - Danny Pflughoeft


Réponses:


Pour Java en particulier, Chrome désactive désormais Java par défaut sur toutes les pages et vous invite à l'autoriser à s'exécuter chaque fois qu'un site en a besoin.

Pour des problèmes plus généraux liés aux plug-ins, Chrome vous permet de bloquer tous les plug-ins sur tous les sites, puis de les activer de manière sélective sur une page sans la recharger. Vous pouvez également configurer des exceptions pour des URL spécifiques.

Pour activer cela, sous la section Plug-ins de l'URL des paramètres: chrome://settings/content sélectionnez "Bloquer tout".

Avec cette option activée, lorsque vous souhaitez exécuter des plugins sur une page, vous avez 3 options:

  • Faites un clic droit sur le plugin et choisissez "Exécuter ce plug-in" dans le menu contextuel
  • Cliquez sur l'icône du plugin dans la barre d'URL et choisissez "Exécuter tous les plug-ins cette fois
  • Ajouter une exception pour les sites de confiance afin qu'ils puissent exécuter des plugins sans votre autorisation explicite à chaque fois

Chrome a également un paramètre "Click to play" qui est caché derrière un indicateur dans certaines versions de Chrome. Comme l’a dit un commentateur, cette option est vulnérable aux attaques par cliquetis, alors je déconseille de l’utiliser. Vous êtes mieux avec la fonctionnalité "Bloquer tout".


136
2017-10-20 19:22





J'ai trouvé une très vieille demande de bug / fonctionnalité sur Google Chrome ici.
Il apparaît dans Chrome 6.0 ou version ultérieure. Visite chrome://plugins/ ou about:plugins et désactiver Java là-bas.

alt text

Une fois que j'ai fait cela, à assure-toi Java était désactivé, j'ai visité un Page de démonstration du plugin Java. Et en effet il était désactivé:

alt text

Mais ma recommandation générale est de désinstaller Java - vous vraiment ne voulez pas que Java soit installé sur votre système, à moins que vous ayez absolument besoin de l’avoir… parce qu’il ya tant de nouveaux exploits.

Je recommande également de désactiver les plugins dont vous n’avez pas absolument besoin. Chaque plug-in activé est une surface d'attaque, et une autre chose qui doit être mise à jour.


73
2017-10-20 18:51



J'ai fini par désactiver comme 15 plugins je ne savais pas que j'avais ... - juan
Ne pourriez-vous pas simplement entrer et supprimer les DLL du plugin "netscape" (et IE, je suppose) plutôt que de tout désinstaller? - SamB
Oracle, dans leur sagesse, a brisé ces liens sun.com. J'ai googlé "java applet demo" et essayé le premier lien non-sun. Oui, il semble que Chrome moderne désactive Java par défaut. - Jason
À partir de Chrome 57, la page des plugins n'est plus accessible. - anton_rh


Une petite astuce que j'utilise avec Java est de rechercher et d'installer uniquement la version x64, que j'utilise uniquement lorsque je lance IE x64 pour utiliser les applications Java uniques, comme celle que vous référencez.


31
2017-10-20 19:07



oh mec c'est un super conseil; J'utilise IE 64 bit de la même manière lorsque je veux tester "le navigateur que je n'utilise jamais mais fonctionne toujours" - Jeff Atwood


Pour ne désactiver que les plugins Java, on peut utiliser le -disable-java commutateur de démarrage. Exemple:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Naviguer vers http://java.com/en/download/help/testvm.xml après un redémarrage du navigateur donne le bon message

Aucun Java actif n'a été détecté sur votre système. Installez Java en cliquant sur le bouton ci-dessous.

On peut lire sur d'autres commutateurs dans Le guide de l'utilisateur puissant sur Google Chrome. Il existe également d'autres informations utiles.


10
2018-02-19 08:51





Bien que cela puisse être une solution simple, il suffit de bloquer suffisamment Java, mais si vous privilégiez une approche plus globale, vous préférerez peut-être utiliser une combinaison de:

  • Secunia PSI/VIM pour la notification des mises à jour, des vulnérabilités et des mises à jour automatiques
  • Microsoft EMET pour éviter les débordements de pile et similaires
  • Zone tampon pour la protection contre le lecteur par les installateurs
  • Comptes virtuels iCore pour les moments où vous devez passer le côté obscur du réseau sur une machine de production (il est peu pratique de vous connecter / déconnecter et utilise la semi-virtualisation, il y a donc un peu de temps libre - mais si vous ne disposez que d'une seule machine) )

Cela devrait vous protéger de plus que de simples vulnérabilités Java.

Pour mesurer l’efficacité de ces approches (EMET seul semble en arrêter 90%), vous pouvez utiliser le Boîte à outils d'ingénierie sociale.


9
2017-11-09 09:32





Au lieu de désactiver le plug-in dans Chrome, une autre possibilité consiste à configurer Java afin de le désactiver pour tous les navigateurs.

Pour faire ça:

  1. Ouvrez le panneau de configuration Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Aller à l'onglet Sécurité
  3. Désélectionnez "Activer le contenu Java dans le navigateur"
  4. Java vous dit qu'il prendra effet après le redémarrage du ou des navigateurs

0
2018-02-11 17:18