web-dev-qa-db-fra.com

Désactiver le plug-in Java dans Google Chrome?

Il s’agit de la secondeheure de l’installation d’un exécutable avec lecteur sur ma machine) en utilisant les éléments suivants:

  • Google Chrome 6 (dernier)
  • Windows 7, UAC sur

Cela est arrivé pendant que je cherchais des images à ajouter à un article de gaming.se; l'un des sites que j'ai visités (pour obtenir une image d'un câble de transfert) doit avoir un code d'exploitation du navigateur au volant exécuté.

UAC m'a averti qu'un exécutable temporaire étrange voulait s'exécuter, et j'ai refusé, mais j'ai toujoursobtenu l'exécution du faux exécutable antivirus sur ma machine. Sigh ..

Java est installé parce que je télécharge des fichiers tous les mois sur clearbits.net et que leur programme de téléchargement est un plugin Java. Donc, ma meilleure hypothèse est que les sites Web font drive-by des installations en utilisant des quantités énormes de vulnérabilités «zero-day» dans les plug-ins de navigateur Java .

Pour l'instant, j'ai désinstallé Java, qui fonctionne. Mais je me suis demandé si je pouvais désactiver le plugin Java dans Google Chrome à la place.

Alors, comment désactiver ces plugins vulnérables dans Google Chrome? Je ne trouve pas l'interface utilisateur.

google-chromejavapluginsvulnerabilities
156
Jeff Atwood

Pour Java en particulier, Chrome désactive désormais Java par défaut sur toutes les pages et vous invite à autoriser son exécution à chaque fois qu'un site en a besoin.

Pour les soucis plus généraux liés aux plugins, Chrome vous permet de bloquer complètement tous les plugins de tous les sites, puis de les activer de manière sélective sur une page sans la recharger. Vous pouvez également configurer des exceptions pour des URL particulières.

Pour l'activer, dans la section Plug-ins des paramètres url: chrome://settings/content, sélectionnez "Bloquer tout".

Lorsque cette option est activée, lorsque vous souhaitez exécuter des plug-ins sur une page, vous avez 3 options:

  • Faites un clic droit sur le plugin et choisissez "Exécuter ce plug-in" dans le menu contextuel.
  • Cliquez sur l'icône du plug-in dans la barre d'URL et choisissez "Exécuter tous les plug-ins cette fois."
  • Ajoutez une exception pour les sites de confiance afin qu'ils puissent exécuter des plugins sans votre permission explicite à chaque fois

Chrome a également un paramètre "Cliquez pour jouer" qui est caché derrière un drapeau dans certaines versions de Chrome. Comme un intervenant l'a mentionné, cette option est vulnérable aux attaques de détournement de clic, je vous déconseille donc de l'utiliser. Vous êtes mieux avec la fonctionnalité "Tout bloquer".

136
Dan Herbert

J'ai trouvé un très vieux bug/demande de fonctionnalité sur Google Chrome ici .
Il apparaît dans Chrome 6.0 ou version ultérieure. Visitezchrome://plugins/ouabout:pluginset désactivez Java à cet endroit.

alt text

Une fois cela fait, pour m'assurer que Java était désactivé, j'ai visité une page de démonstration du plugin Java . Et en effet c'était désactivé:

alt text

Mais ma recommandation générale est de désinstaller Java - vous vraiment ne voulez pas que Java soit installé sur votre système, à moins que vous ne deviez absolument l’avoir.

Je recommanderais également de désactiver tous les plugins dont vous n’avez absolument pas besoin. Chaque plugin activé est une surface d’attaque, mais il faut également tenir à jour.

73
Jeff Atwood

Une petite astuce que j'utilise avec Java consiste à rechercher et à installer uniquement la version x64, que je n'utilise que lorsque je lance IE x64 pour utiliser les applications uniques Java uniquement comme celle que vous avez référencée.

31
CoreyH

Pour désactiver uniquement les plug-ins Java, vous pouvez utiliser le commutateur de démarrage -disable-Java. Exemple:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-Java

Navigation vers http://Java.com/fr/download/help/testvm.xml après le redémarrage du navigateur, le message Nice

Aucun Java fonctionnel n'a été détecté sur votre système. Installez Java en cliquant sur le bouton ci-dessous.

Vous pouvez en savoir plus sur les autres commutateurs dansLe Guide de l'utilisateur expérimenté de Google Chrome. Il existe également d'autres informations utiles.

10
Bobrovsky

Bien que cela puisse être une solution facile, bloquant juste suffisamment Java, si vous êtes en faveur d’une approche plus globale, vous préférerez peut-être utiliser une combinaison de:

  • Secunia PSI / VIM pour la notification de mises à jour, de vulnérabilités et de mises à jour automatiques
  • Microsoft EMET pour empêcher les débordements de pile et autres
  • BufferZone pour la protection du lecteur par les installateurs
  • Comptes virtuels iCore pour les moments où vous avez besoin de marcher du côté obscur du réseau sur une machine de production (il est un peu gênant de se connecter/déconnecter et utilise la semi-virtualisation, il y a donc un surcoût - mais quand vous n'en avez qu'un machine à votre disposition ...)

Cela devrait vous protéger de plus que des vulnérabilités Java.

Pour mesurer l'efficacité de ces approches (EMET seul semble en arrêter 90%), vous pouvez utiliser le Boîte à outils d'ingénierie sociale .

9
Metalshark

Au lieu de désactiver le plug-in dans Chrome, une autre possibilité consiste à configurer Java pour le désactiver pour tous les navigateurs.

Pour faire ça:

  1. Ouvrez le panneau de configuration Java (C:\Program Files\Java\jre7\bin\javacpl.exe).
  2. Aller sur l'onglet Sécurité
  3. Décochez "Activer le contenu Java dans le navigateur"
  4. Java vous dit que cela prendra effet après le redémarrage du (des) navigateur (s)
0
Oriol