C’est la deuxième fois que j’ai un exécutable avec lecteur installé sur ma machine en utilisant les éléments suivants:
- Google Chrome 6 (dernier)
- Windows 7, UAC sur
Cela est arrivé pendant que je cherchais des images à ajouter à un article de gaming.se; l'un des sites que j'ai visités (pour obtenir une image d'un câble de transfert) doit avoir un code d'exploitation du navigateur au volant exécuté.
Me contrôle de compte qu'un exécutable alerté temporaire bizarre voulait courir, et je refusai, mais je toujours eu l'exécutable faux antivirus en cours d' exécution sur ma machine. Soupir..
J'ai installé Java parce que je télécharge des fichiers mensuellement sur clearbits.net et que leur programme de téléchargement est un plugin Java. Donc, ma meilleure hypothèse est que les sites Web effectuent des installations automatisées en utilisant le nombre considérable de vulnérabilités «zéro jour» dans les plug-ins de navigateur Java .
Pour l'instant, j'ai désinstallé Java, qui fonctionne. Mais je me demandais si je pouvais plutôt désactiver le plug-in Java dans Google Chrome .
Alors, comment désactiver ces plugins vulnérables dans Google Chrome? Je ne trouve pas l'interface utilisateur.
la source
Réponses:
Pour Java en particulier, Chrome désactive désormais Java par défaut sur toutes les pages et vous invite à autoriser son exécution à chaque fois qu'un site en a besoin.
Pour les soucis plus généraux liés aux plugins, Chrome vous permet de bloquer complètement tous les plugins de tous les sites, puis de les activer de manière sélective sur une page sans la recharger. Vous pouvez également configurer des exceptions pour des URL particulières.
Pour l'activer, dans la section Plug-ins de l'URL des paramètres:
chrome://settings/content
sélectionnez "Tout bloquer".Lorsque cette option est activée, lorsque vous souhaitez exécuter des plug-ins sur une page, vous avez 3 options:
Chrome a également un paramètre "Cliquez pour jouer" qui est caché derrière un drapeau dans certaines versions de Chrome. Comme un intervenant l'a mentionné, cette option est vulnérable aux attaques de détournement de clic, je vous déconseille donc de l'utiliser. Vous êtes mieux avec la fonctionnalité "Tout bloquer".
la source
J'ai trouvé une demande de bogue / fonctionnalité très ancienne sur Google Chrome ici .
Il apparaît dans Chrome 6.0 ou version ultérieure. Visitez
chrome://plugins/
ouabout:plugins
et désactivez Java ici.Une fois que j'ai fait cela, pour m'assurer que Java était désactivé, j'ai visité une page de démonstration du plugin Java . Et en effet c'était désactivé:
Mais ma recommandation générale est de désinstaller Java. Vous ne voulez vraiment pas utiliser Java sur votre système, à moins que vous ne deviez absolument l’avoir.
Je recommanderais également de désactiver les plugins dont vous n’avez absolument pas besoin. Chaque plugin activé est une surface d’attaque, mais il faut également tenir à jour.
la source
Une petite astuce que j'utilise avec Java consiste à rechercher et à installer uniquement la version x64, que je n'utilise que lorsque je lance IE x64 pour utiliser les applications uniques Java, comme celle que vous avez référencée.
la source
Pour désactiver uniquement les plug-ins Java, vous pouvez utiliser le
-disable-java
commutateur de démarrage. Exemple:Naviguer vers http://java.com/en/download/help/testvm.xml après le redémarrage du navigateur donne le message
Vous pouvez en savoir plus sur les autres commutateurs dans Le Guide de l'utilisateur avec Google Chrome . Il existe également d'autres informations utiles.
la source
Bien que cela puisse être une solution facile, bloquant juste suffisamment Java, si vous êtes en faveur d’une approche plus globale, vous préférerez peut-être utiliser une combinaison de:
Cela devrait vous protéger de plus que des vulnérabilités Java.
Pour mesurer l'efficacité de ces approches (EMET seul semble en arrêter 90%), vous pouvez utiliser la boîte à outils d'ingénierie sociale .
la source
Au lieu de désactiver le plug-in dans Chrome, une autre possibilité consiste à configurer Java afin de le désactiver pour tous les navigateurs.
Pour faire ça:
C:\Program Files\Java\jre7\bin\javacpl.exe
)la source