¿Deshabilitar el complemento de Java en Google Chrome?

157

Esta es la segunda vez que tengo un ejecutable drive-by instalado en mi máquina usando lo siguiente:

  • Google Chrome 6 (más reciente)
  • Windows 7, UAC en

Esto sucedió mientras buscaba imágenes para agregar a una publicación de gaming.se; uno de los sitios que visité (para obtener una imagen de un cable de transferencia) debe haber tenido en ejecución el código de explotación del navegador.

UAC me alertó de que un ejecutable temporal extraño quería ejecutarse, y lo rechacé, pero todavía recibí el falso ejecutable antivirus ejecutándose en mi máquina. Suspiro..

Tengo Java instalado porque subo cosas mensualmente a clearbits.net y su cargador es un complemento de Java. Por lo tanto, mi mejor conjetura es que los sitios web están haciendo instalaciones drive-by utilizando la gran cantidad de vulnerabilidades de día cero en los complementos del navegador Java .

Por ahora, he desinstalado Java, que funciona. Pero me preguntaba si podría deshabilitar el complemento de Java en Google Chrome .

Entonces, ¿cómo deshabilita estos complementos vulnerables en Google Chrome? No puedo encontrar la interfaz de usuario.

Jeff Atwood
fuente
8
¿Cómo detectó este ejecutable drive-by?
Leonel
55
Siempre puede ver si sus complementos deben actualizarse aquí: mozilla.com/en-US/plugincheck
travis
3
@paper Usé microsoft.com/security_essentials
Jeff Atwood el
1
Obtuve algo similar de un PDF el otro día ... y para colmo, si hubiera recordado que no tenía la intención de abrir uno, ¡podría haberlo evitado!
SamB
1
¿Cómo sabes que era una vulnerabilidad en Java y no una vulnerabilidad en webkit?
BlueRaja - Danny Pflughoeft

Respuestas:

136

Para Java específicamente, Chrome ahora deshabilita Java de manera predeterminada en todas las páginas y le solicita que permita que se ejecute cada vez que un sitio lo necesite.

Para las preocupaciones de complementos más generales, Chrome le permite bloquear todos los complementos en todos los sitios por completo, y luego le permite habilitarlos selectivamente en una página sin volver a cargarlo. También puede configurar excepciones para URL particulares.

Para habilitar esto, en la sección Complementos de la url de configuración: chrome://settings/contentseleccione "Bloquear todo".

Con esta opción habilitada, cuando desee ejecutar complementos en una página, tiene 3 opciones:

  • Haga clic derecho en el complemento y elija "Ejecutar este complemento" en el menú contextual
  • Haga clic en el icono del complemento en la barra de URL y elija "Ejecutar todos los complementos esta vez
  • Agregue una excepción para los sitios en los que confía para que puedan ejecutar complementos sin su permiso explícito cada vez

Chrome también tiene una configuración de "Hacer clic para jugar" que está oculta detrás de una bandera en algunas versiones de Chrome. Como mencionó un comentarista, esta opción es vulnerable a los ataques de clickjacking, por lo que recomendaría no usarla. Estás mejor con la función "Bloquear todo".

Dan Herbert
fuente
73

Encontré una solicitud de error / función realmente antigua en Google Chrome aquí .
Aparece en Chrome 6.0 o posterior. Visite chrome://plugins/o about:pluginsdesactive Java allí.

texto alternativo

Una vez que hice esto, para asegurarme de que Java estaba deshabilitado, visité una página de demostración del complemento de Java . Y de hecho fue deshabilitado:

texto alternativo

Pero mi recomendación general es desinstalar Java: realmente no desea Java en su sistema a menos que tenga que tenerlo de manera absoluta y positiva ... porque hay muchas nuevas vulnerabilidades para él.

También recomendaría deshabilitar cualquier complemento que no necesite absolutamente. Cada complemento habilitado es una superficie de ataque, y otra cosa que debe mantenerse actualizada.

Jeff Atwood
fuente
17
Terminé desactivando como 15 complementos que no sabía que tenía ...
juan
¿No podría simplemente entrar y eliminar las DLL del complemento "netscape" (e IE, supongo) en lugar de desinstalar todo?
SamB
1
Oracle, en su sabiduría, ha roto esos enlaces de sun.com. Busqué en Google "Java applet demo" y probé el primer enlace que no es sun. Sí, parece que Chrome moderno desactiva Java por defecto.
Jason
A partir de Chrome 57, la página de complementos ya no es accesible.
anton_rh
31

Un pequeño truco que uso con Java es buscar e instalar solo la versión x64, que solo uso cuando enciendo IE x64 para usar las aplicaciones únicas de Java como la que usted hace referencia.

CoreyH
fuente
77
oh hombre, ese es un consejo increíble; Uso IE 64 bit de manera similar cuando quiero probar en "navegador que nunca uso pero que aún funciona"
Jeff Atwood
10

Para deshabilitar solo los complementos de Java, se puede usar el -disable-javainterruptor de inicio. Ejemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegando a http://java.com/en/download/help/testvm.xml después de que un reinicio del navegador da un buen mensaje

No se detectó Java en funcionamiento en su sistema. Instale Java haciendo clic en el botón de abajo.

Se puede leer sobre otros interruptores en la Guía del usuario avanzado de Google Chrome . También hay otra información útil.

Bobrovsky
fuente
10

Aunque puede ser una solución fácil, simplemente bloqueando suficientemente Java, si está a favor de un enfoque más holístico, puede preferir usar una combinación de:

  • Secunia PSI / VIM para notificación de actualizaciones, vulnerabilidades y actualizaciones automáticas
  • Microsoft EMET para evitar desbordamientos de pila y similares
  • BufferZone para la protección del disco por parte de los instaladores
  • Cuentas virtuales de iCore para momentos en los que necesita caminar por el lado oscuro de la red en una máquina de producción (es un poco incómodo iniciar sesión / cerrar sesión y utiliza semi-virtualización, por lo que hay algunos gastos generales, pero cuando solo tiene una máquina a su disposición ...)

Esto debería protegerlo de más que solo vulnerabilidades de Java.

Para medir la efectividad de estos enfoques (EMET solo parece detener el 90% de ellos), es posible que desee utilizar el Kit de herramientas de ingeniería social .

Metalshark
fuente
0

En lugar de deshabilitar el complemento en Chrome, otra posibilidad es configurar Java para deshabilitarlo en todos los navegadores.

Para hacer eso:

  1. Abra el Panel de control de Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Vaya a la pestaña Seguridad
  3. Desmarca "Habilitar contenido Java en el navegador"
  4. Java le dice que surtirá efecto después de reiniciar los navegadores
Oriol
fuente