Google ChromeでJavaプラグインを無効にしますか?


157

次を使用して、マシンにドライブバイ実行可能ファイルをインストールしたのはこれが2です。

  • Google Chrome 6(最新)
  • Windows 7、UACオン

これは、gaming.seの投稿に追加する画像を参照しているときに起こりました。(転送ケーブルの画像を取得するために)私が訪れたサイトの1つでは、ドライブバイブラウザのエクスプロイトコードが実行されていたに違いありません。

UACは、奇妙な一時的な実行ファイルを実行したいことを私に警告し、私は減少しましたが、私はまだ私のマシン上で実行されている偽のウイルス対策の実行を得ました。はぁ..

clearbits.netに毎月アップロードし、それらのアップローダーはJavaプラグインであるため、Javaがインストールされています。したがって、私の推測では、WebサイトはJavaブラウザプラグイン膨大な数のゼロデイ脆弱性を使用してドライブバイインストールを実行しています

今のところ、Javaをアンインストールしましたが、動作します。しかし代わりにGoogle ChromeでJavaプラグインを無効にできるかどうか疑問に思いました。

では、Google Chromeでこれらの脆弱なプラグインをどのように無効にしますか?UIが見つかりません。


8
このドライブバイ実行可能ファイルをどのように検出しましたか?
レオネル

5
プラグインを更新する必要があるかどうかはいつでも確認できます:mozilla.com/en-US/plugincheck
travis


1
先日PDFから似たようなものを入手しました...そして、さらに、物事を開くつもりがなかったことを思い出せば、それを避けることができました!
SamB

1
Webkitの脆弱性ではなく、Javaの脆弱性であることをどのように確認しますか?
BlueRaja-ダニーPflughoeft

回答:


136

特にJavaの場合、ChromeはすべてのページでデフォルトでJavaを無効にし、サイトが必要とするたびに実行することを許可するように求められます。

より一般的なプラグインの問題については、Chromeを使用すると、すべてのサイトのすべてのプラグインを完全にブロックし、ページをリロードせずに選択的に有効にすることができます。特定のURLの例外を構成することもできます。

これを有効にするには、設定URLのchrome://settings/content[ プラグイン]セクションで、[すべてブロック]を選択します。

このオプションを有効にすると、ページでプラグインを実行する場合、3つのオプションがあります。

  • プラグインを右クリックして、コンテキストメニューから[このプラグインを実行]を選択します
  • URLバーのプラグインアイコンをクリックし、[今回はすべてのプラグインを実行]を選択します
  • 毎回明示的な許可なしにプラグインを実行できるように、信頼するサイトに例外を追加します

Chromeには、一部のバージョンのChromeでフラグの後ろに隠れている「クリックして再生」設定もあります。コメント者が述べたように、このオプションはクリックジャック攻撃に対して脆弱なので、使用しないようにアドバイスします。「すべてブロック」機能を使用する方が良いでしょう。


73

Google Chrome 非常に古いバグ/機能のリクエストをここで見つけました。
Chrome 6.0以降で表示されます。Javaにアクセスするchrome://plugins/about:plugins、Javaを無効にします。

代替テキスト

これを行ったら、Javaが無効になっていることを確認するためにJavaプラグインのデモページにアクセスしました。そして実際、それは無効にされました:

代替テキスト

しかし、私の一般的な推奨事項は、Javaをアンインストールすることです。絶対に積極的にJavaをインストールする必要がある場合を除き、Javaをシステムにインストールしたくないのです。

また、絶対に必要ではないプラグインを無効にすることをお勧めします。有効になっているプラ​​グインはすべて攻撃対象であり、最新の状態に保つ必要があるもう1つのものです。


17
私は私が...持っていた知らなかった私は15個のプラグインのように無効になってしまった
フアン

すべてをアンインストールするのではなく、「netscape」(およびIE、私が思うに)プラグインDLLを削除するだけではできませんか?
SamB

1
Oracleは、賢明なことに、これらのsun.comリンクを破壊しました。「java applet demo」をグーグルで検索して、最初の非太陽リンクを試しました。はい、最新のChromeはデフォルトでJavaを無効にしているようです。
ジェイソン

Chrome 57プラグインページからはアクセスできなくなりました。
-anton_rh

31

Javaで使用する1つの小さなトリックは、x64バージョンのみを探し回ってインストールすることです。これは、IE x64を起動して、参照するようなJava専用アプリを使用するときにのみ使用します。


7
ああ、それは素晴らしいヒントです。私は、私がテストしたい場合にも、同様の方法で、IE 64ビットを使用して「私は決して使用しないブラウザをまだ作品」
ジェフ・アトウッド

10

Javaプラグインのみを無効にするには、-disable-javaスタートアップスイッチを使用できます。例:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

ブラウザの再起動後にhttp://java.com/en/download/help/testvm.xmlに移動すると、いいメッセージが表示されます

システムで動作するJavaが検出されませんでした。下のボタンをクリックしてJavaをインストールします。

Google Chromeのパワーユーザーガイドで他のスイッチについて読むことができます。他にも役立つ情報があります。


10

簡単な修正かもしれませんが、Javaを十分にブロックしますが、より全体的なアプローチを好む場合は、次の組み合わせを使用することをお勧めします。

  • 更新、脆弱性、自動更新の通知のためのSecunia PSI / VIM
  • スタックオーバーフローなどを防ぐためのMicrosoft EMET
  • インストーラーによるドライブからの保護のためのBufferZone
  • iCore Virtual Accountsは、プロダクションマシンでネットの裏側を歩く必要がある場合(ログイン/ログアウトするのに少し不便であり、セミバーチャライゼーションを使用するためオーバーヘッドがあります-ただし、マシンを1台しか使用できない場合) ...)

これにより、単なるJavaの脆弱性から保護することができます。

これらのアプローチの有効性を測定するには(EMETだけで90%が停止するようです)、Social Engineering Toolkitを使用できます


0

Chromeでプラグインを無効にする代わりに、すべてのブラウザでJavaを無効にするためにJavaを構成することもできます。

それを行うには:

  1. Javaコントロールパネルを開きます(C:\Program Files\Java\jre7\bin\javacpl.exe
  2. [セキュリティ]タブに移動します
  3. 「ブラウザでJavaコンテンツを有効にする」のチェックを外します
  4. Javaは、ブラウザを再起動すると有効になることを通知します
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.