Più protezione contro gli attacchi CRIME in OSX. L’aumento delle barriere di sicurezza, è citato dal sito Ars Technica che fa notare che Apple ha integrato nelle ultime patch per OS X Snow Leopard, Lion e Mountain Lion una migliore protezione contro una tipologia di attacco che, in determinate circostanze, poteva consentire a hacker di dirottare sessioni cifrate del browser. Apple, inoltre, ha integrato in Mountain Lion una nuova difesa contro attacchi malware che potevano colpire il plug-in Java di Oracle per i browser. L’attacco, noto come CRIME (acronimo di “Compression Ratio Info-leak Made Easy”), permetteva di decifrare comunicazioni cifrate quando era sfruttato un meccanismo per la riduzione della larghezza di banda.
Il fix consiste nel disabilitare la compressione quando è utilizzato il Transport Layer Security (TLS), protocollo crittografico che permette una comunicazione sicura dal sorgente al destinatario. Al pari di altri browser, Safari è immune da questi attacchi poiché non sfrutta protocolli di comunicazione vulnerabili; l’aggiornamento di sicurezza integrato da Apple nelle ultime patch per OS X, è pensato per chi utilizza browser alternativi o altri software che sfruttano il TLS, proteggendoli dagli attacchi CRIME.
Nell’ultimo update a OS X 10.8.4 Apple ha modificato le modalità con le quali sono gestite le applicazioni Java Web Start. Le applicazioni devono ora essere firmate con un certificato valido (Developer ID). Il Gatekeeper verificherà le applicazioni Java Web Start scaricate, bloccando applicazioni non adeguatamente firmate.
