¿Deshabilitar el complemento de Java en Google Chrome?

Esta es la segunda vez que tengo un ejecutable drive-by instalado en mi máquina usando lo siguiente:

• Google Chrome 6 (más reciente)
• Windows 7, UAC en

Esto sucedió mientras buscaba imágenes para agregar a una publicación de gaming.se; uno de los sitios que visité (para obtener una imagen de un cable de transferencia) debe haber tenido en ejecución el código de explotación del navegador.

UAC me alertó de que un ejecutable temporal extraño quería ejecutarse, y lo rechacé, pero todavía recibí el falso ejecutable antivirus ejecutándose en mi máquina. Suspiro..

Tengo Java instalado porque subo cosas mensualmente a clearbits.net y su cargador es un complemento de Java. Por lo tanto, mi mejor conjetura es que los sitios web están haciendo instalaciones drive-by utilizando la gran cantidad de vulnerabilidades de día cero en los complementos del navegador Java .

Por ahora, he desinstalado Java, que funciona. Pero me preguntaba si podría deshabilitar el complemento de Java en Google Chrome .

Entonces, ¿cómo deshabilita estos complementos vulnerables en Google Chrome? No puedo encontrar la interfaz de usuario.

Para Java específicamente, Chrome ahora deshabilita Java de manera predeterminada en todas las páginas y le solicita que permita que se ejecute cada vez que un sitio lo necesite.

Para las preocupaciones de complementos más generales, Chrome le permite bloquear todos los complementos en todos los sitios por completo, y luego le permite habilitarlos selectivamente en una página sin volver a cargarlo. También puede configurar excepciones para URL particulares.

Para habilitar esto, en la sección Complementos de la url de configuración: chrome://settings/contentseleccione "Bloquear todo".

Con esta opción habilitada, cuando desee ejecutar complementos en una página, tiene 3 opciones:

• Haga clic derecho en el complemento y elija "Ejecutar este complemento" en el menú contextual
• Haga clic en el icono del complemento en la barra de URL y elija "Ejecutar todos los complementos esta vez
• Agregue una excepción para los sitios en los que confía para que puedan ejecutar complementos sin su permiso explícito cada vez

Chrome también tiene una configuración de "Hacer clic para jugar" que está oculta detrás de una bandera en algunas versiones de Chrome. Como mencionó un comentarista, esta opción es vulnerable a los ataques de clickjacking, por lo que recomendaría no usarla. Estás mejor con la función "Bloquear todo".

Encontré una solicitud de error / función realmente antigua en Google Chrome aquí .
Aparece en Chrome 6.0 o posterior. Visite chrome://plugins/o about:pluginsdesactive Java allí.

Una vez que hice esto, para asegurarme de que Java estaba deshabilitado, visité una página de demostración del complemento de Java . Y de hecho fue deshabilitado:

Pero mi recomendación general es desinstalar Java: realmente no desea Java en su sistema a menos que tenga que tenerlo de manera absoluta y positiva ... porque hay muchas nuevas vulnerabilidades para él.

También recomendaría deshabilitar cualquier complemento que no necesite absolutamente. Cada complemento habilitado es una superficie de ataque, y otra cosa que debe mantenerse actualizada.

Un pequeño truco que uso con Java es buscar e instalar solo la versión x64, que solo uso cuando enciendo IE x64 para usar las aplicaciones únicas de Java como la que usted hace referencia.

Para deshabilitar solo los complementos de Java, se puede usar el -disable-javainterruptor de inicio. Ejemplo:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Navegando a http://java.com/en/download/help/testvm.xml después de que un reinicio del navegador da un buen mensaje

No se detectó Java en funcionamiento en su sistema. Instale Java haciendo clic en el botón de abajo.

Se puede leer sobre otros interruptores en la Guía del usuario avanzado de Google Chrome . También hay otra información útil.

Aunque puede ser una solución fácil, simplemente bloqueando suficientemente Java, si está a favor de un enfoque más holístico, puede preferir usar una combinación de:

• Secunia PSI / VIM para notificación de actualizaciones, vulnerabilidades y actualizaciones automáticas
• Microsoft EMET para evitar desbordamientos de pila y similares
• BufferZone para la protección del disco por parte de los instaladores
• Cuentas virtuales de iCore para momentos en los que necesita caminar por el lado oscuro de la red en una máquina de producción (es un poco incómodo iniciar sesión / cerrar sesión y utiliza semi-virtualización, por lo que hay algunos gastos generales, pero cuando solo tiene una máquina a su disposición ...)

Esto debería protegerlo de más que solo vulnerabilidades de Java.

Para medir la efectividad de estos enfoques (EMET solo parece detener el 90% de ellos), es posible que desee utilizar el Kit de herramientas de ingeniería social .

En lugar de deshabilitar el complemento en Chrome, otra posibilidad es configurar Java para deshabilitarlo en todos los navegadores.

Para hacer eso:

1. Abra el Panel de control de Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Vaya a la pestaña Seguridad
3. Desmarca "Habilitar contenido Java en el navegador"
4. Java le dice que surtirá efecto después de reiniciar los navegadores