Google ChromeでJavaプラグインを無効にしますか?
これはsecondです私のマシンにdrive-by実行ファイルをインストールしたのは以下の通りです:
- Google Chrome 6(最新)
- Windows 7、UACオン
これは、私がgaming.seの投稿に追加する画像をブラウズしている間に起こりました。私が訪れたサイトの1つ(転送ケーブルの画像を取得するため)には、ドライブバイブラウザのエクスプロイトコードが実行されているはずです。
UACは私に奇妙な一時的な実行可能ファイルを実行したいと警告し、そして私は辞退したが、Istillは私のマシンで偽のアンチウイルス実行可能プログラムを実行させた。ため息..
私は毎月clearbits.netにコンテンツをアップロードしており、それらのアップローダーはJavaプラグインであるため、私はJavaをインストールしています。だから私の最善の推測は、ウェブサイトが ドライブバイインストール を使って 膨大な数のゼロデイ脆弱性を悪用することです。 Javaブラウザプラグイン .
現時点では、私はJavaをアンインストールしました。しかし、私はGoogle ChromeのJavaプラグインを無効にすることができるかどうかを考えました。
それでは、どのようにGoogle Chromeでこれらの脆弱なプラグインを無効にするのですか? UIが見つかりません。
特にJavaの場合、ChromeはすべてのページでデフォルトでJavaを無効にし、サイトで必要になるたびに実行するように促します。
より一般的なプラグインの心配のために、Chromeはあなたがすべてのサイトのすべてのプラグインを完全にブロックすることを可能にして、それからあなたがそれをリロードすることなく選択的にそれらを可能にします。特定のURLに対して例外を設定することもできます。
これを有効にするには、設定urlのプラグインセクションの下で:chrome://settings/content "Block All"を選択してください。
このオプションを有効にすると、ページ上でプラグインを実行したいときに3つのオプションがあります。
- プラグインを右クリックして、コンテキストメニューから[このプラグインを実行]を選択します。
- URLバーのプラグインアイコンをクリックして、[今度はすべてのプラグインを実行]を選択します。
- 毎回明示的な許可なしにプラグインを実行できるように、信頼しているサイトに例外を追加します。
Chromeには「クリックして再生」の設定もあり、Chromeの一部のバージョンではフラグの後ろに隠れています。コメンターが述べたように、このオプションはクリックジャッキング攻撃に対して脆弱なので、私はそれを使用しないことをお勧めします。あなたは "Block all"機能を使ったほうがいいです。
Google Chrome here で非常に古いバグ/機能のリクエストを見つけました。
Chrome 6.0以降で表示されます。 chrome://plugins/またはabout:pluginsにアクセスして、Javaを無効にします。
これを行った後、Javaが無効になっていることを確認するために、 Javaプラグインデモページ にアクセスしました。そして実際、それは無効にされました:
しかし、私の一般的な推奨事項は、Javaをアンインストールすることです-絶対に積極的にインストールする必要がある場合を除き、reallyはシステムにJavaを望まないそれ..それには非常に多くの新しいエクスプロイトがあるからです。
また、絶対に必要ではないプラグインを無効にすることをお勧めします。有効化されたプラグインはすべて攻撃対象であり、さらに最新の状態に保つ必要がある別のものです。
私がJavaで使用する小さなトリックの1つは、x [64]バージョンのみを探してインストールすることです。これは、IE x64を起動するときにのみ使用します。
Javaプラグインを無効にするためだけに-disable-Java起動スイッチを使うことができます。例:
"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-Java
ブラウザの再起動後に http://Java.com/en/download/help/testvm.xml に移動すると、Niceメッセージが表示されます。
システム上で動作中のJavaが検出されませんでした。下のボタンをクリックしてJavaをインストールしてください。
他のスイッチについては、『Google Chromeユーザーガイド』を参照してください。他にも役に立つ情報があります。
これは簡単な修正方法かもしれませんが、Javaを十分にブロックするだけですが、より包括的なアプローチを好む場合は、以下の組み合わせを使用することをお勧めします。
- Secunia PSI / VIM アップデートのお知らせ、脆弱性自動アップデート
- スタックオーバーフローを防ぐためのMicrosoft EMET
- BufferZone でインストーラーによるドライブからの保護
- プロダクションマシンでネットの裏側を歩く必要がある場合は、iCoreバーチャルアカウント を使用してください(ログイン/ログアウトするには少々不便で、semを使用します)。 - 仮想化なので多少のオーバーヘッドがあります - しかしあなたが自由に使えるのは1台のマシンしかない場合...)
これにより、Javaの脆弱性以上のものからあなたを守ることができます。
これらのアプローチの有効性を測定するために(EMETだけでそれらの90%を止めるようです)あなたは Social Engineering Toolkit を使いたいかもしれません。
Chromeでプラグインを無効にする代わりに、すべてのブラウザに対して無効にするためにJavaを設定することも可能です。
それをするには:
- Javaコントロールパネルを開く(
C:\Program Files\Java\jre7\bin\javacpl.exe) - セキュリティタブに移動します
- 「ブラウザでJavaコンテンツを有効にする」のチェックを外します。
- Javaは、ブラウザを再起動した後に有効になることを伝えます