La disabilitazione del componente aggiuntivo Java in IE ti protegge dagli exploit Java?

8

Riguardo alla recente vulnerabilità Java ( Devo disabilitare Java? ), sembra che il consiglio più comune sia disabilitare i plug-in Java nel browser.

Tuttavia, Heise Security suggerisce che, quando si tratta di Internet Explorer, potrebbe non essere sufficiente :

Tests carried out by our associates at heise Security found that Microsoft's flagship browser was still able to access the Java plugin even after it had been explicitly disabled. Users running IE are therefore advised to uninstall Java completely using the Add or Remove Programs option in Windows' Control Panel.

C'è davvero un punto debole noto con cui un exploit Java potrebbe danneggiare un utente di IE che visita un sito Web dannoso, anche se i componenti aggiuntivi di Java sono disabilitati?

    
posta Heinzi 14.01.2013 - 09:39
fonte

2 risposte

7

Il mio tedesco è piuttosto arrugginito, ma sono piuttosto sicuro che l' articolo di Heise Security in realtà non dice quello che afferma l'articolo H-online.

Unter Opera erreicht man die Plugin-Verwaltung durch die Eingabe von opera:plugins in die Adressleiste. Beim Internet Explorer genügt das Deaktiveren der Plug-ins unter "Add-Ons verwalten" nicht. Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren.

Che si traduce approssimativamente in

The plugin manager for Opera can be accessed by typing opera:plugins in the address bar. For Internet Explorer, it is not sufficient to use "Manage Add-ons" for deactivation of Java plug-ins. Anyone that uses IE should completely uninstall Java via Control Panel / Programs.

IE non ti permette di disattivare completamente il plugin Java dal browser. Invece, devi utilizzare una chiave di registro per disabilitarla correttamente. L'articolo di Heise suggerisce questo: la disattivazione del plug-in non disabilita completamente la funzionalità Java integrata in IE. Credo che lo scrittore di articoli di Heise non fosse a conoscenza di questo trucco del registro e che lo scrittore di articoli H-online abbia appena preso il consiglio "come scritto", senza controllare adeguatamente i fatti.

Quindi no, non è necessario disinstallarlo completamente. Anche se lo metterei in cima alla lista delle cose da disinstallare se puoi sopravvivere senza di esso, considerando la tirata degli ultimi 0 giorni.

    
risposta data 14.01.2013 - 09:56
fonte
4

La disattivazione dei componenti aggiuntivi non è sufficiente.

CERT scrive in una delle sue note sulla vulnerabilità :

Disable the Java plug-in and Java Deployment Toolkit for Internet Explorer

Disabling the Java plug-in for Internet Explorer is significantly more complicated than with other browsers. There are multiple ways for a web page to invoke a Java applet, and multiple ways to configure Java Plug-in support. Microsoft has released KB article 2751647, which describes how to disable the Java plug-in for Internet Explorer. However, we have found that due to the multitude of ways that Java can be invoked in Internet Explorer, their guidance (as well as our prior guidance) does not completely disable Java. However, we have provided a registry file that disables all of the CLSIDs provided by Java versions up through Java 7 Update 6, as well as blocks invocation of java through the element in the IE by setting the URLACTION_JAVA_PERMISSIONS flag for the "Internet Zone." If you wish to disable the element in other zones, you can modify the registry file to suit your needs. See Microsoft KB article 182569 for more details. In our testing, importing this registry file appears to prevent invocation of Java applets in Internet Explorer.

Quindi disabilitare in modo affidabile Java in IE sembra possibile solo disabilitando i componenti aggiuntivi e aggiungendo un po 'di voci di registro kill-bit, come suggerito nel link fornito da @Polynomial . Tuttavia, sembra che diverse versioni di Java abbiano GUID kill-bit diversi , il che significherebbe sostanzialmente che questo metodo elenca solo le versioni attualmente conosciute del plugin Java , che potrebbero andare bene se si desidera disabilitare Java fino a quando non viene risolto un determinato exploit. Ma non disabiliterà Java in modo permanente.

Tuttavia, a partire da Java 7u10, esiste una funzionalità nel Pannello di controllo Java che disabilita in modo permanente Java in tutti i browser . Oracle stesso descrive questo come l'unico modo per disabilitare Java in IE :

Internet Explorer

The only way to completely disable Java in Internet Explorer (IE) is to disable Java through the Java Control Panel as noted above.

    
risposta data 14.01.2013 - 10:20
fonte

Leggi altre domande sui tag