ก่อนหน้านี้เราทุกคนต่างก็ประหลาดใจกับ การเปิดตัว Android 4.4.4 อย่างกะทันหัน. โดยธรรมชาติแล้ว สิ่งนี้ทำให้เราทุกคนสงสัยเล็กน้อยว่ามีอะไรเกิดขึ้นบ้างในรุ่นล่าสุดนี้ ซึ่งเป็นไปตามนั้น ไปยังเอกสารสนับสนุนการอัปเดตของ Sprint นำเสนอ "การแก้ไขความปลอดภัย" ที่ไม่ระบุรายละเอียด ตอนนี้คนดี ๆ อยู่ที่ FunkyAndroid ได้ทำสิ่งที่พวกเขาทำได้ดีที่สุดโดยการแสดงรายการคอมมิตโค้ดทั้งหมดที่นำมาใช้กับ Android เวอร์ชันใหม่นี้
ทีม FunkyAndroid ได้มอบบันทึกการเปลี่ยนแปลงสำหรับนักพัฒนา Android ให้เราแล้ว 4.4.1, 4.4.2, 4.4.2_r2, และ 4.4.3. ตอนนี้พวกเขาได้ดำเนินการและให้บันทึกการเปลี่ยนแปลงสำหรับนักพัฒนา Android 4.4.4 KTU84P แก่เราแล้ว และเช่นเคย บริการนี้เกิดขึ้นได้ด้วยการ สคริปต์โอเพ่นซอร์ส เผยแพร่โดยไม่มีใครอื่นนอกจากอดีตผู้นำ AOSP เจบีคิว.
รายการเปลี่ยนแปลงทั้งหมด:
โครงการ: แพลตฟอร์ม/การสร้าง
27aae42: "KTU84P"
7f83b7c: MR2.1 - เวอร์ชัน 4.4.4 ไปเลย! อย่ารวมเข้าด้วยกัน
โครงการ: แพลตฟอร์ม/กะรัต
b8e2dab: อย่ารวมการอัปเดตสำหรับเวอร์ชันชน
6da2c75: การทดสอบ CTS สำหรับปัญหา CCS ในช่วงต้นของ OpenSSL (CVE-2014-0224)
a3b762f: ปิดการใช้งาน holotests ฝั่งโฮสต์ด้วย
8e02f46: รายงาน CTS ต้องไม่แสดงตัวเลขประสิทธิภาพดิบ ข้อผิดพลาด: 13347703
510cfbc: สื่อ: ปรับโครงสร้างใหม่และปรับปรุงความทนทานของ AdaptivePlaybackTest
e502d40: แก้ไขข้อบกพร่องที่เกิดขึ้นพร้อมกันใน OpenSSLHeartbleedTest
3a90060: ฮาร์ดแวร์: Consumerir: เพิ่มความยาวรูปแบบการทดสอบ
c070509: ฮาร์ดแวร์: Consumerir: แก้ไขความคลาดเคลื่อนของเวลา
1856a4e: การทดสอบ CTS สำหรับช่องโหว่ Heartbleed ใน SSLSocket
โครงการ: แพลตฟอร์ม/ภายนอก/chromium_org
76d1172: Backport "รีไซเคิลออบเจ็กต์ wrapper V8 เก่าบนการนำทาง"
afae5d8: บล็อกการเข้าถึง java.lang Object.getClass ในวัตถุ Java ที่ถูกแทรก
โครงการ: แพลตฟอร์ม/ภายนอก/chromium_org/third_party/WebKit
3fb1c1e: แก้ไขการล้างคุณสมบัติ Java Bridge wrapper สำหรับเพจแบบหลายเฟรม
b13a6de: Cherry-pick "ส่งออก WebCore:: forgetV8ObjectForNPObject"
โครงการ: แพลตฟอร์ม/ภายนอก/chromium_org/third_party/openssl
e2f305e: Cherrypick "OpenSSL: เพิ่มการแก้ไข CVE จาก 1.0.1h"
โครงการ: แพลตฟอร์ม/ภายนอก/openssl
dd1da36: แก้ไขข้อผิดพลาด CCS ล่วงหน้า
โครงการ: แพลตฟอร์ม/เฟรมเวิร์ก/ฐาน
63ade05: เพิ่มเหตุการณ์ EventLog สำหรับการบันทึกความพยายามในการเรียก java.lang Object.getClass
โครงการ: แพลตฟอร์ม/เฟรมเวิร์ก/webview
7a7dce8: ฆ่าเชื้อความตั้งใจของตัวเลือกเมื่อจัดการกับเจตนา: โครงการ
ตามที่ระบุไว้ในเอกสารสนับสนุนการอัปเดตของ Sprint นี่เป็นการอัปเดตความปลอดภัยอย่างแท้จริง และเมื่อพิจารณาถึงความมุ่งมั่นที่ทำกับ 4.4.4 ตอนนี้เราจะเห็นได้ว่าเป็นเช่นนั้น นอกจากนี้เรายังสามารถเห็นได้ว่าช่องโหว่ที่ได้รับแพตช์โดยการอัปเดตนี้ไม่ใช่ช่องโหว่เคอร์เนล Linux CVE-2014-3153 ที่ถูกโจมตี ผ้าเช็ดตัวของ geohotแต่เป็นปัญหา CCS ในช่วงต้นของ OpenSSL (CVE-2014-0224) ที่อาจนำไปสู่การโจมตีแบบแทรกกลางบางประเภท นอกเหนือจากการแก้ไขด้านความปลอดภัยแล้ว ยังมีการเปลี่ยนแปลงเล็กๆ น้อยๆ เกิดขึ้นกับ webview และ chromium รวมถึงการบันทึกเหตุการณ์อีกด้วย
อาจเป็นไปได้ว่านอกเหนือจากการคอมมิตโค้ด AOSP แล้ว อาจมีการแก้ไขเฉพาะอุปกรณ์บางอย่างที่มาจาก blobs ไดรเวอร์ที่เป็นกรรมสิทธิ์ซึ่งเผยแพร่ในเวลาเดียวกันด้วย อย่างไรก็ตาม ยังไม่ทราบแน่ชัดว่าปัญหา mm-qcamera-daemon ที่น่าสะพรึงกลัวยังคงอยู่หรือไม่
[แหล่งที่มา: FunkyAndroid | ขอขอบคุณผู้สนับสนุนที่ได้รับการยอมรับ กาแล็กซี่ประหลาด สำหรับทิป!]