Frage Java-Plugin in Google Chrome deaktivieren?


Dies ist das zweite Ich habe auf meinem Computer eine Drive-By-Programmdatei installiert, die Folgendes verwendet:

  • Google Chrome 6 (neueste)
  • Windows 7, UAC aktiviert

Dies geschah, als ich nach Bildern suchte, die zu einem gaming.se-Post hinzugefügt wurden. Bei einer der Seiten, die ich besucht habe (um ein Abbild eines Übertragungskabels zu erhalten) muss der Exploit-Code für Drive-by-Browser ausgeführt worden sein.

UAC warnte mich, dass eine seltsame temporäre ausführbare Datei ausgeführt werden wollte, und ich lehnte ab, aber ich immer noch Ich habe die gefälschte Antivirus-Programmdatei auf meinem Computer ausgeführt. Seufzer..

Ich habe Java installiert weil ich Sachen jeden Monat auf clearbits.net lade und ihr Uploader ein Java-Plugin ist. Also meine beste Vermutung ist, Websites tun Drive-by-Installationen Verwendung der massive Anzahl von Zero-Day-Schwachstellen in den Java-Browser-Plugins.

Für jetzt habe ich Java deinstalliert, das funktioniert. Aber ich fragte mich, ob ich könnte Deaktivieren Sie das Java-Plugin in Google Chrome stattdessen.

Also, wie deaktivierst du diese anfälligen Plugins in Google Chrome? Ich kann die Benutzeroberfläche nicht finden.


154
2017-10-20 18:46


Ursprung


Wie haben Sie dieses Drive-by-Programm erkannt? - Leonel
Sie können immer sehen, ob Ihre Plug-Ins hier aktualisiert werden müssen: mozilla.com/de-DE/plugincheck - travis
@paper ich verwendet microsoft.com/security_essentials - Jeff Atwood
Ich habe neulich eine ähnliche Sache aus einem PDF bekommen ... und um noch etwas hinzuzufügen, wenn ich mich nur daran erinnert hätte, dass ich es nicht beabsichtigt hatte, hätte ich es vermeiden können! - SamB
Woher weißt du, dass es eine Schwachstelle in Java und keine Schwachstelle in Webkit war? - BlueRaja - Danny Pflughoeft


Antworten:


Speziell für Java Chrome deaktiviert Java jetzt standardmäßig auf allen Seiten und fordert Sie auf, es jedes Mal ausführen zu lassen, wenn eine Site es benötigt.

Bei allgemeinen Plug-in-Problemen können Sie in Chrome alle Plug-ins auf allen Websites vollständig blockieren und anschließend auf einer Seite selektiv aktivieren, ohne sie erneut zu laden. Sie können auch Ausnahmen für bestimmte URLs konfigurieren.

Um dies zu aktivieren, wählen Sie im Bereich Plug-ins der URL-Einstellungen: chrome://settings/content Wählen Sie "Alle blockieren".

Wenn diese Option aktiviert ist, haben Sie 3 Optionen, wenn Sie Plugins auf einer Seite ausführen möchten:

  • Klicken Sie mit der rechten Maustaste auf das Plugin und wählen Sie "Run this plug-in" aus dem Kontextmenü
  • Klicken Sie auf das Plugin-Symbol in der URL-Leiste und wählen Sie "Alle Plug-Ins diesmal ausführen"
  • Fügen Sie eine Ausnahme für vertrauenswürdige Sites hinzu, damit sie Plug-ins ohne Ihre ausdrückliche Erlaubnis ausführen können

Chrome hat auch eine "Click to Play" -Einstellung, die in einigen Chrome-Versionen hinter einer Flagge versteckt ist. Wie ein Kommentator erwähnt, ist diese Option anfällig für Clickjacking-Angriffe, so dass ich davon abraten würde, sie zu verwenden. Sie sind besser dran mit der Funktion "Alle blockieren".


136
2017-10-20 19:22





Ich habe eine wirklich alte Bug / Feature-Anfrage in Google Chrome gefunden Hier.
Es erscheint in Chrome 6.0 oder höher. Besuch chrome://plugins/ oder about:plugins und Java dort deaktivieren.

alt text

Sobald ich das getan habe, zu Stelle sicher Java war deaktiviert, ich besuchte eine Java-Plugin-Demoseite. Und tatsächlich war es deaktiviert:

alt text

Aber meine allgemeine Empfehlung ist, Java - Sie zu deinstallieren Ja wirklich Ich möchte Java nicht auf deinem System haben, es sei denn, du musst es absolut, positiv haben ... weil es so viele neue Exploits dafür gibt.

Ich würde auch empfehlen, alle Plugins zu deaktivieren, die Sie nicht unbedingt benötigen. Jedes aktivierte Plugin ist eine Angriffsfläche und noch etwas, das auf dem neuesten Stand gehalten werden muss.


73
2017-10-20 18:51



Ich endete mit der Deaktivierung von 15 Plugins, von denen ich nicht wusste, dass ich sie hatte ... - juan
Könnten Sie nicht einfach die DLLs "Netscape" (und IE, ich nehme an) löschen, anstatt alles zu deinstallieren? - SamB
Oracle hat in ihrer Weisheit die Links von sun.com gebrochen. Ich googelte "Java Applet Demo" und versuchte den ersten Nicht-Sonne-Link. Ja, es sieht so aus, als ob Chrome standardmäßig Java deaktiviert. - Jason
Ab Chrome 57 ist die Plugins-Seite nicht mehr zugänglich. - anton_rh


Ein kleiner Trick, den ich mit Java verwende, ist, nur die x64-Version zu jagen und zu installieren, die ich nur benutze, wenn ich IE x64 starte, um die einmaligen Java-Apps zu verwenden, wie die, auf die du dich beziehst.


31
2017-10-20 19:07



Oh Mann, das ist ein toller Tipp; Ich benutze IE 64 Bit in ähnlicher Weise, wenn ich in "Browser, den ich nie benutze, aber immer noch funktioniert" testen möchte - Jeff Atwood


Um Java Plugins nur zu deaktivieren, kann man das verwenden -disable-java Startup-Schalter. Beispiel:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navigieren zu http://java.com/de/download/help/testvm.xml Nach einem Neustart des Browsers gibt die nette Nachricht

Auf Ihrem System wurde kein funktionierendes Java gefunden. Installieren Sie Java, indem Sie auf die Schaltfläche unten klicken.

Man kann über andere Schalter nachlesen Das Power-Benutzerhandbuch für Google Chrome. Es gibt noch andere nützliche Informationen.


10
2018-02-19 08:51





Obwohl es eine einfache Lösung ist, Java nur ausreichend zu blockieren, bevorzugen Sie eine Kombination aus:

  • Secunia PSI/VIM zur Benachrichtigung über Updates, Schwachstellen und automatische Updates
  • Microsoft EMET um Stapelüberläufe und ähnliches zu vermeiden
  • Pufferzone zum Schutz vor der Fahrt durch Installateure
  • iCore virtuelle Konten Für Zeiten, in denen Sie die dunkle Seite des Netzes auf einer Produktionsmaschine laufen müssen (es ist ein wenig unpraktisch, sich an- und abzumelden und halb virtualisiert zu werden, so dass es einen gewissen Mehraufwand gibt - aber wenn Sie nur eine Maschine zur Verfügung haben ... )

Dies sollte Sie vor mehr als nur Java-Schwachstellen schützen.

Um die Wirksamkeit dieser Ansätze zu messen (EMET allein scheint 90% davon zu stoppen), möchten Sie vielleicht die Social Engineering-Toolkit.


9
2017-11-09 09:32





Anstatt das Plugin in Chrome zu deaktivieren, besteht eine weitere Möglichkeit darin, Java zu konfigurieren, um es für alle Browser zu deaktivieren.

Das zu tun:

  1. Öffnen Sie Java-Systemsteuerung (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Gehe zur Registerkarte Sicherheit
  3. Deaktivieren Sie "Java-Inhalt im Browser aktivieren"
  4. Java sagt Ihnen, dass es nach dem Neustart der Browser wirksam wird

0
2018-02-11 17:18