Hoy temprano, todos estábamos sorprendidos por el lanzamiento repentino de Android 4.4.4. Naturalmente, esto nos dejó a todos un poco curiosos en cuanto a qué fue exactamente en esta última versión, que de acuerdo con la documentación de soporte de actualizaciones de Sprint, trae una "solución de seguridad" no especificada. Ahora, la buena gente de FunkyAndroid ha hecho lo que mejor hace enumerando cada confirmación de código introducida con esta nueva versión de Android.
El equipo de FunkyAndroid ya nos ha dado registros de cambios de desarrollador para Android 4.4.1, 4.4.2, 4.4.2_r2 y 4.4.3. Ahora, se adelantaron y nos dieron otro registro de cambios de desarrollador para Android 4.4.4 KTU84P. Como siempre, este servicio es posible gracias a un script de código abierto lanzado por nada menos que el ex líder de AOSP JBQ.
La lista de cambios completa:
Proyecto: plataforma / construcción
27aae42: “KTU84P”
7f83b7c: MR2.1 - Versión 4.4.4. ¡Aquí vamos! No combinar
Proyecto: plataforma / cts
b8e2dab: NO MEZCLE Actualización para el aumento de versión
6da2c75: prueba de CTS para el problema inicial de CCS de OpenSSL (CVE-2014-0224)
a3b762f: deshabilitar holotests del lado del host también
8e02f46: el informe CTS NO DEBE mostrar números de rendimiento sin procesar. error: 13347703
510cfbc: media: refactoriza y mejora la robustez de AdaptivePlaybackTest
e502d40: corrige un error de concurrencia en OpenSSLHeartbleedTest.
3a90060: hardware: consumerir: aumenta la longitud del patrón de prueba
c070509: hardware: consumerir: discrepancia de tiempo fijo
1856a4e: prueba CTS para vulnerabilidad Heartbleed en SSLSocket.
Proyecto: plataforma / externo / chromium_org
76d1172: Backport "Reciclar viejos objetos de envoltura V8 en navegaciones"
afae5d8: Bloquea el acceso a java.lang.Object.getClass en objetos Java inyectados
Proyecto: plataforma / externo / chromium_org / third_party / WebKit
3fb1c1e: Repara la limpieza de las propiedades del contenedor Java Bridge para páginas de múltiples cuadros
b13a6de: Cherry-pick "Export WebCore :: forgetV8ObjectForNPObject"
Proyecto: plataforma / externo / chromium_org / third_party / openssl
e2f305e: Cherrypick "OpenSSL: agregue arreglos CVE desde 1.0.1h"
Proyecto: plataforma / externo / openssl
dd1da36: Corregir error de CCS temprano
Proyecto: plataforma / marcos / base
63ade05: Agregar evento EventLog para registrar los intentos de llamar a java.lang.Object.getClass
Proyecto: plataforma / frameworks / webview
7a7dce8: Desinfecta la intención del selector cuando se maneja la intención: esquema.
Como se especifica en la documentación de soporte de actualizaciones de Sprint, esta es de hecho una actualización de seguridad. Y mirando las confirmaciones hechas a 4.4.4, ahora podemos ver que este es el caso. También podemos ver que la vulnerabilidad parcheada por esta actualización no es la vulnerabilidad del kernel de Linux CVE-2014-3153 explotada en la raíz de toalla de Geohot, sino más bien un problema de CCS temprano de OpenSSL (CVE-2014-0224) que puede conducir a ciertos tipos de hombres ataques en el medio. Además de las correcciones de seguridad, se realizaron algunos cambios menores en webview y chromium, así como el registro de eventos.
Es posible que, además de las confirmaciones de código de AOSP, existan ciertas correcciones específicas del dispositivo que surgen de los blobs de controladores propietarios que también se lanzaron al mismo tiempo. Sin embargo, no se sabe nada en este momento, incluso si el temido problema mm-qcamera-daemon todavía está presente.
[Fuente: FunkyAndroid | ¡Gracias al Colaborador Reconocido galaxyfreak por el dato!]
