Chrome에서 Java 플러그인을 사용 중지 하시겠습니까?

다음을 사용하여 컴퓨터에 drive-by 실행 파일을 설치 한 것은 이번이 두 번째 입니다.

• Chrome 6 (최신)
• Windows 7, UAC 켜기

이것은 game.se 게시물에 추가 할 이미지를 탐색하는 동안 발생했습니다. 내가 방문한 사이트 중 하나 (전송 케이블의 이미지를 얻기 위해)에는 드라이브 바이 브라우저 익스플로잇 코드가 실행 중이어야합니다.

UAC는 이상한 임시 실행 파일을 실행하고 싶다고 경고했지만 거절했지만 여전히 내 컴퓨터에서 가짜 바이러스 백신 실행 파일이 실행되고 있습니다. 한숨..

clearbits.net에 매달 물건을 업로드하고 업 로더가 Java 플러그인이기 때문에 Java를 설치 했습니다. 따라서 가장 좋은 추측은 웹 사이트가 Java 브라우저 플러그인에서 수많은 제로 데이 취약점을 사용하여 드라이브 바이 설치 를 수행하고 있다는 것 입니다.

지금은 작동하는 Java를 제거했습니다. 그러나 대신 Chrome에서 Java 플러그인을 비활성화 할 수 있는지 궁금 했습니다.

그렇다면 Chrome에서 이러한 취약한 플러그인을 어떻게 비활성화합니까? UI를 찾을 수 없습니다.

특히 Java의 경우 Chrome은 이제 모든 페이지에서 기본적으로 Java를 사용 중지 하고 사이트에서 필요할 때마다 Java 를 실행하도록 요청합니다.

보다 일반적인 플러그인 문제를 해결하기 위해 Chrome에서는 모든 사이트의 모든 플러그인을 완전히 차단 한 다음 다시로드하지 않고도 페이지에서 선택적으로 플러그인을 활성화 할 수 있습니다. 특정 URL에 대한 예외를 구성 할 수도 있습니다.

이를 활성화하려면 설정 URL의 플러그인 섹션 chrome://settings/content에서 "모두 차단"을 선택하십시오.

이 옵션을 사용하면 페이지에서 플러그인을 실행하려는 경우 3 가지 옵션이 있습니다.

• 플러그인을 마우스 오른쪽 버튼으로 클릭하고 상황에 맞는 메뉴에서 "이 플러그인 실행"을 선택하십시오.
• URL 표시 줄에서 플러그인 아이콘을 클릭하고 "이번에는 모든 플러그인 실행"을 선택하십시오.
• 신뢰할 수있는 사이트에 예외를 추가하여 매번 명시적인 허가없이 플러그인을 실행할 수 있도록합니다.

Chrome에는 '클릭하여 재생'설정이 있으며 일부 버전의 Chrome에서는 깃발 뒤에 숨겨져 있습니다. 논평자가 언급했듯이이 옵션은 클릭 재킹 공격에 취약하므로 사용하지 않는 것이 좋습니다. "모두 차단"기능을 사용하는 것이 좋습니다.

Chrome 에서 실제로 오래된 버그 / 기능 요청을 발견했습니다 .
Chrome 6.0 이상에 나타납니다. 방문 chrome://plugins/하거나 about:pluginsJava를 비활성화 하십시오 .

Java를 비활성화 하기 위해 Java 플러그인 데모 페이지를 방문했습니다 . 실제로 비활성화되었습니다.

그러나 일반적인 권장 사항은 Java를 제거 하는 것입니다. 시스템에 Java를 원하지 않는 한 절대로 긍정적으로 요구하지 않는 한 실제로 는 원하지 않습니다. 새로운 착취가 너무 많기 때문입니다.

또한 꼭 필요하지 않은 플러그인을 비활성화하는 것이 좋습니다. 활성화 된 모든 플러그인은 공격 영역이며 최신 상태를 유지해야합니다.

Java와 함께 사용하는 하나의 작은 트릭은 x64 버전 만 찾아서 설치하는 것입니다. IE x64를 실행하여 참조하는 것과 같은 일회용 Java 전용 응용 프로그램을 사용할 때만 사용합니다.

Java 플러그인 만 비활성화하려면 -disable-java시작 스위치를 사용할 수 있습니다 . 예:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

에 탐색 http://java.com/en/download/help/testvm.xml 브라우저를 다시 시작 후하면 좋은 메시지를 제공합니다

시스템에서 작동중인 Java가 발견되지 않았습니다. 아래 버튼을 클릭하여 Java를 설치하십시오.

Chrome 고급 사용자 안내서 에서 다른 스위치에 대해 읽을 수 있습니다 . 다른 유용한 정보도 있습니다.

Java를 충분히 차단하는 것은 쉬운 해결책 일 수 있지만보다 전체적인 접근 방식을 선호하는 경우 다음 조합을 사용하는 것이 좋습니다.

• 업데이트, 취약점 및 자동 업데이트 알림을위한 Secunia PSI / VIM
• 스택 오버플로 및 이와 유사한 것을 방지하기위한 Microsoft EMET
• 설치자가 드라이브를 보호하는 BufferZone
• 프로덕션 머신에서 네트의 어두운면을 걸어야 할 때의 iCore 가상 계정 ...)

이것은 단순한 Java 취약점 이상으로부터 당신을 보호해야합니다.

이러한 접근 방식의 효과를 측정하려면 (EMET만으로는 그중 90 %를 멈춘 것으로 보입니다) 사회 공학 툴킷 을 사용할 수 있습니다 .

Chrome에서 플러그인을 사용 중지하는 대신 모든 브라우저에서 사용하지 않도록 Java를 구성 할 수도 있습니다.

하기 위해서:

1. Java 제어판 열기 ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. 보안 탭으로 이동
3. "브라우저에서 Java 컨텐츠 사용"을 선택 취소하십시오.
4. Java는 브라우저를 다시 시작한 후에 적용됩니다.