Désactiver le plug-in Java dans Google Chrome?

157

C’est la deuxième fois que j’ai un exécutable avec lecteur installé sur ma machine en utilisant les éléments suivants:

  • Google Chrome 6 (dernier)
  • Windows 7, UAC sur

Cela est arrivé pendant que je cherchais des images à ajouter à un article de gaming.se; l'un des sites que j'ai visités (pour obtenir une image d'un câble de transfert) doit avoir un code d'exploitation du navigateur au volant exécuté.

Me contrôle de compte qu'un exécutable alerté temporaire bizarre voulait courir, et je refusai, mais je toujours eu l'exécutable faux antivirus en cours d' exécution sur ma machine. Soupir..

J'ai installé Java parce que je télécharge des fichiers mensuellement sur clearbits.net et que leur programme de téléchargement est un plugin Java. Donc, ma meilleure hypothèse est que les sites Web effectuent des installations automatisées en utilisant le nombre considérable de vulnérabilités «zéro jour» dans les plug-ins de navigateur Java .

Pour l'instant, j'ai désinstallé Java, qui fonctionne. Mais je me demandais si je pouvais plutôt désactiver le plug-in Java dans Google Chrome .

Alors, comment désactiver ces plugins vulnérables dans Google Chrome? Je ne trouve pas l'interface utilisateur.

Jeff Atwood
la source
8
Comment avez-vous détecté ce fichier exécutable?
Leonel
5
Vous pouvez toujours voir si vos plug-ins doivent être mis à jour ici: mozilla.com/en-US/plugincheck
travis
3
@ Paper j'ai utilisé microsoft.com/security_essentials
Jeff Atwood
1
L’autre jour, j’ai reçu un document similaire en format PDF ... et, si je me souvenais bien que je n’avais pas eu l’intention de l’ouvrir, j’aurais pu l’éviter!
SamB
1
Comment savez-vous qu'il s'agissait d'une vulnérabilité en Java et non d'une vulnérabilité dans Webkit?
BlueRaja - Danny Pflughoeft Le

Réponses:

136

Pour Java en particulier, Chrome désactive désormais Java par défaut sur toutes les pages et vous invite à autoriser son exécution à chaque fois qu'un site en a besoin.

Pour les soucis plus généraux liés aux plugins, Chrome vous permet de bloquer complètement tous les plugins de tous les sites, puis de les activer de manière sélective sur une page sans la recharger. Vous pouvez également configurer des exceptions pour des URL particulières.

Pour l'activer, dans la section Plug-ins de l'URL des paramètres: chrome://settings/contentsélectionnez "Tout bloquer".

Lorsque cette option est activée, lorsque vous souhaitez exécuter des plug-ins sur une page, vous avez 3 options:

  • Faites un clic droit sur le plugin et choisissez "Exécuter ce plug-in" dans le menu contextuel.
  • Cliquez sur l'icône du plug-in dans la barre d'URL et choisissez "Exécuter tous les plug-ins cette fois."
  • Ajoutez une exception pour les sites de confiance afin qu'ils puissent exécuter des plugins sans votre permission explicite à chaque fois

Chrome a également un paramètre "Cliquez pour jouer" qui est caché derrière un drapeau dans certaines versions de Chrome. Comme un intervenant l'a mentionné, cette option est vulnérable aux attaques de détournement de clic, je vous déconseille donc de l'utiliser. Vous êtes mieux avec la fonctionnalité "Tout bloquer".

Dan Herbert
la source
73

J'ai trouvé une demande de bogue / fonctionnalité très ancienne sur Google Chrome ici .
Il apparaît dans Chrome 6.0 ou version ultérieure. Visitez chrome://plugins/ou about:pluginset désactivez Java ici.

texte alternatif

Une fois que j'ai fait cela, pour m'assurer que Java était désactivé, j'ai visité une page de démonstration du plugin Java . Et en effet c'était désactivé:

texte alternatif

Mais ma recommandation générale est de désinstaller Java. Vous ne voulez vraiment pas utiliser Java sur votre système, à moins que vous ne deviez absolument l’avoir.

Je recommanderais également de désactiver les plugins dont vous n’avez absolument pas besoin. Chaque plugin activé est une surface d’attaque, mais il faut également tenir à jour.

Jeff Atwood
la source
17
J'ai fini par désactiver 15 plugins, je ne savais pas que j'avais ...
juan
Ne pourriez-vous pas simplement entrer et supprimer les DLL du plug-in "netscape" (et IE, je suppose) plutôt que de tout désinstaller?
SamB
1
Oracle, dans sa sagesse, a brisé ces liens sun.com. J'ai googlé "démo java applet" et essayé le premier lien non-sun. Oui, il semblerait que Chrome moderne désactive Java par défaut.
Jason
À partir de Chrome 57 plugins page n'est plus accessible.
anton_rh
31

Une petite astuce que j'utilise avec Java consiste à rechercher et à installer uniquement la version x64, que je n'utilise que lorsque je lance IE x64 pour utiliser les applications uniques Java, comme celle que vous avez référencée.

CoreyH
la source
7
oh mec c'est un bon conseil; J'utilise IE 64 bits de la même manière lorsque je veux tester dans "un navigateur que je n'utilise jamais, mais qui fonctionne toujours"
Jeff Atwood
10

Pour désactiver uniquement les plug-ins Java, vous pouvez utiliser le -disable-javacommutateur de démarrage. Exemple:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Naviguer vers http://java.com/en/download/help/testvm.xml après le redémarrage du navigateur donne le message

Aucun Java fonctionnel n'a été détecté sur votre système. Installez Java en cliquant sur le bouton ci-dessous.

Vous pouvez en savoir plus sur les autres commutateurs dans Le Guide de l'utilisateur avec Google Chrome . Il existe également d'autres informations utiles.

Bobrovsky
la source
10

Bien que cela puisse être une solution facile, bloquant juste suffisamment Java, si vous êtes en faveur d’une approche plus globale, vous préférerez peut-être utiliser une combinaison de:

  • Secunia PSI / VIM pour la notification des mises à jour, des vulnérabilités et des mises à jour automatiques
  • Microsoft EMET pour empêcher les débordements de pile et similaires
  • BufferZone pour la protection du lecteur par les installateurs
  • Comptes virtuels iCore pour les moments où vous devez parcourir le côté obscur du réseau sur une machine de production (il est un peu gênant de se connecter / déconnecter et utilise la semi-virtualisation, il y a donc un surcoût - mais quand vous n'avez qu'une seule machine à votre disposition ...)

Cela devrait vous protéger de plus que des vulnérabilités Java.

Pour mesurer l'efficacité de ces approches (EMET seul semble en arrêter 90%), vous pouvez utiliser la boîte à outils d'ingénierie sociale .

Metalshark
la source
0

Au lieu de désactiver le plug-in dans Chrome, une autre possibilité consiste à configurer Java afin de le désactiver pour tous les navigateurs.

Pour faire ça:

  1. Ouvrez le panneau de configuration Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Aller sur l'onglet Sécurité
  3. Décochez "Activer le contenu Java dans le navigateur"
  4. Java vous dit que cela prendra effet après le redémarrage du (des) navigateur (s)
Oriol
la source