Desativar o plugin Java no Google Chrome?

Navegue suas respostas
155

Este é o segundo que tive um executável drive-by instalado em minha máquina usando o seguinte:

  • Google Chrome 6 (mais recente)
  • Windows 7, UAC em

Isso aconteceu enquanto eu procurava imagens para adicionar a um post de gaming.se; um dos sites que visitei (para obter uma imagem de um cabo de transferência) deve ter um código de exploração de navegador drive-by em execução.

O UAC me alertou que um executável temporário estranho queria ser executado, e eu recusei, mas ainda consegui executar o executável antivírus falso na minha máquina. Suspiro ..

Eu tenho o Java instalado porque eu faço upload de material mensalmente para o clearbits.net e o uploader deles é um plugin Java. Então, meu melhor palpite é que os sites estão fazendo instalações de drive-by usando o números massivos de vulnerabilidades de dia zero nos plug-ins do navegador Java .

Por enquanto, eu desinstalei o Java, que funciona. Mas imaginei se poderia desativar o plug-in Java no Google Chrome .

Então, como você desativa esses plugins vulneráveis no Google Chrome? Não consigo encontrar a interface do usuário.

    
por Jeff Atwood 20.10.2010 / 20:46

6 respostas

136

Para Java especificamente, o Chrome agora desativa o Java por padrão em todas as páginas e solicita que ele seja executado toda vez que um site precisar dele.

Para problemas de plug-in mais gerais, o Chrome permite que você bloqueie completamente todos os plug-ins em todos os sites e, em seguida, permite seletivamente ativá-los em uma página sem recarregá-los. Você também pode configurar exceções para URLs específicos.

Para ativar isso, na seção Plug-ins do URL de configurações: chrome://settings/content , selecione "Bloquear tudo".

Com esta opção ativada, quando você deseja executar plug-ins em uma página, você tem 3 opções:

  • Clique com o botão direito no plug-in e escolha "Executar este plug-in" no menu de contexto
  • Clique no ícone do plug-in na barra de URL e escolha "Executar todos os plug-ins desta vez
  • Adicione uma exceção aos sites em que você confia para que eles possam executar plug-ins sem sua permissão explícita cada vez

OChrometambémtemumaconfiguração"Clique para reproduzir", que fica oculta atrás de uma bandeira em algumas versões do Chrome. Como um comentarista mencionou, esta opção é vulnerável a ataques de clickjacking, então eu aconselho a não usá-la. Você está melhor com o recurso "Bloquear tudo".

    
por 20.10.2010 / 21:22
73

Encontrei uma solicitação de bug / recurso muito antiga no Google Chrome aqui . < br> Aparece no Chrome 6.0 ou posterior. Visite chrome://plugins/ ou about:plugins e desative o Java.

Depoisdefazerisso,paratercertezadequeoJavaestavadesativado,visiteium Página de demonstração do plugin Java . E de fato foi desativado:

Mas minha recomendação geral é desinstalar o Java - você realmente não quer Java no seu sistema a menos que você absolutamente, positivamente tenha que tê-lo .. porque há tantos novos exploits para ele .

Também recomendo desabilitar todos os plugins que você não precisa. Todo plugin habilitado é uma superfície de ataque, e ainda outra coisa que precisa ser atualizada ...

    
por 20.10.2010 / 20:51
31

Um pequeno truque que uso com o Java é procurar e instalar apenas a versão x64, que só uso quando uso o IE x64 para usar os aplicativos únicos do Java, como o que você referencia.

    
por 20.10.2010 / 21:07
10

Para desabilitar somente plugins Java, é possível usar a opção de inicialização -disable-java . Exemplo: 

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegar para o link após o reinício do navegador dá uma boa mensagem

No working Java was detected on your system. Install Java by clicking the button below.

Pode-se ler sobre outros switches em O Guia do Usuário do Power para Google Chrome . Há outras informações úteis também.

    
por 19.02.2011 / 09:51
9

Embora possa ser uma solução fácil, basta bloquear suficientemente o Java, se você é a favor de uma abordagem mais holística, pode preferir usar uma combinação de:

  • Secunia PSI / VIM para notificação de atualizações, vulnerabilidades e atualizações automáticas
  • Microsoft EMET para evitar estouros de pilha e semelhantes
  • BufferZone para proteção contra drive por instaladores
  • Contas Virtuais iCore para momentos em que você precisa percorrer o lado escuro da rede em uma máquina de produção (é um pouco inconveniente fazer login / logout e usa semi-virtualização, então há alguma sobrecarga - mas quando você tem apenas uma máquina à sua disposição ...)

Isso deve protegê-lo de mais do que apenas vulnerabilidades do Java.

Para medir a eficácia dessas abordagens (o EMET sozinho parece parar 90% delas), você pode querer usar o Kit de ferramentas de engenharia social .

    
por 09.11.2010 / 10:32
0

Em vez de desativar o plug-in no Chrome, outra possibilidade é configurar o Java para desativá-lo em todos os navegadores.

Para fazer isso:

  1. Painel de controle Java aberto ( C:\Program Files\Java\jre7\bin\javacpl.exe )
  2. Vá para a guia Segurança
  3. Desmarque a opção "Ativar conteúdo Java no navegador"
  4. O Java informa que ele entrará em vigor após reiniciar o (s) navegador (es)
por 11.02.2014 / 18:18

Tags

O Windows 8.1 não dorme, mas desliga quando a tampa está fechada Como copiar links simbólicos?