¿Deshabilitar el complemento de Java en IE lo protegerá de las vulnerabilidades de Java?

Question

¿Deshabilitar el complemento de Java en IE lo protegerá de las vulnerabilidades de Java?

#1 de Polynomial (7 votos)
#2 de Heinzi (4 votos)

8

En cuanto a la reciente vulnerabilidad de Java ( ¿Debo deshabilitar Java? ), el consejo más común parece ser para deshabilitar los complementos de Java en el navegador.

Sin embargo, Heise Security sugiere que, cuando se trata de Internet Explorer, esto podría no ser suficiente :

Las pruebas llevadas a cabo por nuestros asociados en heise Security encontraron que el navegador insignia de Microsoft aún podía acceder al complemento de Java incluso después de haber sido deshabilitado explícitamente. Por lo tanto, se recomienda a los usuarios que ejecutan IE que desinstalen Java completamente usando la opción Agregar o quitar programas en el Panel de control de Windows.

¿Existe realmente una debilidad conocida por la cual un exploit de Java podría perjudicar a un usuario de IE que visita un sitio web malicioso, incluso si los complementos de Java están deshabilitados?

web-browser java plugins internet-explorer

pregunta Heinzi 14.01.2013 - 09:39

fuente

2 respuestas

4

Deshabilitar los complementos no es suficiente.

CERT escribe en una de sus notas de vulnerabilidad :

Deshabilitar el complemento de Java y el Kit de herramientas de implementación de Java para Internet Explorer

Deshabilitar el complemento de Java para Internet Explorer es mucho más complicado que con otros navegadores. Hay varias formas en que una página web puede invocar un applet de Java y varias formas de configurar el soporte del complemento de Java. Microsoft ha lanzado artículo de KB 2751647 , que describe cómo deshabilitar el complemento de Java para Internet Explorer. Sin embargo, hemos descubierto que debido a la gran cantidad de formas en que se puede invocar Java en Internet Explorer, su guía (así como nuestra guía anterior) no desactiva por completo Java. Sin embargo, hemos proporcionado un archivo de registro que deshabilita todos los CLSID proporcionados por las versiones de Java hasta la Actualización 6 de Java 7, así como bloquea la invocación de java a través del elemento en el IE al configurar URLACTION_JAVA_PERMISSIONS para la "Zona de Internet". Si desea deshabilitar el elemento en otras zonas, puede modificar el archivo de registro para satisfacer sus necesidades. Consulte el artículo de KB 182569 de Microsoft para obtener más información. En nuestras pruebas, la importación de este archivo de registro parece impedir la invocación de applets de Java en Internet Explorer.

Por lo tanto, la desactivación confiable de Java en IE parece solo posible mediante la desactivación de los complementos y agregando un montón de entradas de registro de bits de muerte, como se sugiere en el enlace proporcionado por @Polynomial . Sin embargo, parece que las diferentes versiones de Java tienen diferentes GUID de bits de paso , lo que básicamente significa que este método solo las listas negras de versiones actualmente conocidas del complemento de Java , lo que podría estar bien si solo desea deshabilitar Java hasta que se solucione un cierto exploit. Pero no deshabilitará Java permanentemente.

Sin embargo, a partir de Java 7u10, hay una función en el Panel de Control de Java que desactiva permanentemente Java en todos los navegadores . Oracle mismo lo describe como la única manera de deshabilitar Java en IE :

Internet Explorer

La única forma de deshabilitar completamente Java en Internet Explorer (IE) es deshabilitar Java a través del Panel de Control de Java como se indicó anteriormente.

respondido por el Heinzi 14.01.2013 - 10:20

fuente

Lea otras preguntas en las etiquetas web-browser java plugins internet-explorer

¿Qué es cero días? Comprobación de la cadena de certificados

score 7 · Accepted Answer

Mi alemán está bastante oxidado, pero estoy bastante seguro de que el artículo de Heise Security realmente no dice lo que afirma el artículo H-online.

Unter Opera erreicht man die Plugin-Verwaltung durch die Eingabe von opera: plugins in die Adressleiste. Beim Internet Explorer se publicó en "Add-Ons verwalten" nicht. Se obtuvo una versión de IE, una versión de Java y una versión del sistema / desinstalación de software.

Lo que se traduce aproximadamente a

Se puede acceder al administrador de complementos para Opera escribiendo opera:plugins en la barra de direcciones. Para Internet Explorer, no es suficiente usar "Administrar complementos" para la desactivación de los complementos de Java. Cualquier persona que use IE debería desinstalar Java completamente a través del Panel de Control / Programas.

IE no le permite deshabilitar completamente el complemento de Java desde el navegador. En su lugar, debe usar una clave de registro para deshabilitarla correctamente. El artículo de Heise sugiere esto: simplemente desactivar el complemento no desactiva completamente la funcionalidad Java incorporada en IE. Creo que el escritor de artículos de Heise no estaba al tanto de este truco de registro, y que el escritor de artículos de H-online simplemente tomó el consejo "como escrito", sin verificar adecuadamente los hechos.

Entonces no, no es necesario desinstalarlo completamente. Aunque ciertamente lo pondría en la parte superior de tu lista de cosas para desinstalar si puedes sobrevivir sin él, considerando la diatriba de los últimos 0 días.