Время (и способы) блокировать Java
dl // 28.08.12 02:32
Опубликована крайне неприятная уязвимость (а заодно и рабочий эксплоит, уже включенный в Metasploit) к Java JRE 1.7x, которая может быть использована практически на всех популярных современных ОС и во всех браузерах для выполнения произвольного кода с последующей подгрузкой мультиплатформенных троянов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/15.html]
Проверены по крайней мере Java 7 update 6 с Firefox под Ubuntu Linux 10.04, IE/Firefox/Chrome под XP, IE/Firefox под Vista/Windows 7, Safari под OS X 10.7.4.
С учетом того, что ближайшее плановое исправление случится аж через полтора месяца (и даже если будет выпущено внеочередное, неизвестно, сколько времени на него уйдет), лучшее, что сейчас можно сделать - полностью отключить Java в основном браузере, если это у вас до сих пор почему-то не сделано.
Проверить, работает ли плагин, можно тут. Если не устраивает полное удаление Java из системы, выборочно отключить плагин в текущих версиях популярных браузеров можно так:
- FireFox: Add-ons (Ctrl-Shift-A) -> Plugins, Disable во всех строчках, упоминающих Java.
- Internet Explorer: Tools (Alt-X) -> Manage add-ons, аналогичный запрет.
- Chrome: открыть chrome://plugins/, те же действия.
- Opera: к сожалению, только вместе со всеми плагинами: открыть opera:config#Extensions|Plugins, снять галочку.
Update: теперь уже можно и индивидуально, в opera:plugins, спасибо Erelen за уточнение.
- Safari: Preferences (Ctrl-,) -> Security -> убрать Enable Java.
Кроме того, Chrome и последний FireFox могут быть настроены на полную блокировку всех плагинов с включением по клику, что подойдет для страниц, пользующихся доверием.
И в качестве финального штриха полезно зайти в Java Control Panel, закладку Advanced и убрать по возможности галочки в разделах Default Java for browsers и Java Plug-in.
