Раніше сьогодні ми всі були здивовані раптовий випуск Android 4.4.4. Природно, це викликало у всіх нас трохи цікавості щодо того, що саме увійшло в цей останній випуск, який, згідно до документації підтримки оновлення Sprint містить невизначене «виправлення безпеки». А тепер, добрі люди FunkyAndroid зробили те, що вони вміють найкраще, перерахувавши кожен комміт коду, представлений у цій новій версії Android.
Команда FunkyAndroid вже надала нам журнали змін розробників для Android 4.4.1, 4.4.2, 4.4.2_r2, і 4.4.3. Тепер вони пішли вперед і дали нам ще один журнал змін розробника для Android 4.4.4 KTU84P. Як завжди, ця послуга стала можливою завдяки сценарій з відкритим кодом випущений не ким іншим, як колишнім керівником AOSP JBQ.
Повний список змін:
Демонструвати: платформа/збірка
27aae42: "KTU84P"
7f83b7c: MR2.1 - Версія 4.4.4. Ось і ми! НЕ ЗЛИВАТИ
Демонструвати: платформа/cts
b8e2dab: НЕ ОБ’ЄДНУЙТЕ оновлення для версії
6da2c75: Тест CTS для раннього випуску CCS OpenSSL (CVE-2014-0224)
a3b762f: також вимкнути голотести на стороні хоста
8e02f46: Звіт CTS ПОВИНЕН не відображати необроблені показники ефективності. помилка: 13347703
510cfbc: медіа: Рефакторинг і підвищення надійності AdaptivePlaybackTest
e502d40: Виправлено помилку паралельного виконання в OpenSSLHeartbleedTest.
3a90060: апаратне забезпечення: споживач: збільшити довжину тестового шаблону
c070509: обладнання: споживач: виправити розбіжність у часі
1856a4e: тест CTS на вразливість Heartbleed у SSLSocket.
Демонструвати: platform/external/chromium_org
76d1172: Backport «Переробити старі об’єкти оболонки V8 у навігації»
afae5d8: Блокувати доступ до java.lang. Object.getClass у введених об’єктах Java
Демонструвати: platform/external/chromium_org/third_party/WebKit
3fb1c1e: виправлено очищення властивостей оболонки Java Bridge для сторінок із кількома кадрами
b13a6de: Cherry-pick "Експортувати WebCore:: забутиV8ObjectForNPObject"
Демонструвати: platform/external/chromium_org/third_party/openssl
e2f305e: Cherrypick "OpenSSL: додайте виправлення CVE з 1.0.1h"
Демонструвати: platform/external/openssl
dd1da36: виправлена помилка Early CCS
Демонструвати: платформа/фреймворк/база
63ade05: Додайте подію EventLog для реєстрації спроб виклику java.lang. Object.getClass
Демонструвати: платформа/фреймворки/веб-перегляд
7a7dce8: Очистити селектор Intent під час обробки Intent: схема.
Як зазначено в документації підтримки оновлень Sprint, це дійсно оновлення безпеки. І, дивлячись на коміти, зроблені до 4.4.4, ми можемо побачити, що це так. Ми також бачимо, що вразливість, виправлена цим оновленням, не є вразливістю ядра Linux CVE-2014-3153, яка використовується в towelroot geohot, а радше рання проблема OpenSSL CCS (CVE-2014-0224), яка може призвести до певних типів атак типу "людина посередині". На додаток до виправлень безпеки, деякі незначні зміни були внесені до webview і chromium, а також журналу подій.
Цілком можливо, що на додаток до фіксації коду AOSP, можуть існувати певні виправлення, пов’язані з пристроєм, які надходять через пропрієтарні блоки драйверів, які також були випущені в той же час. Однак наразі нічого невідомо, зокрема, чи існує страшна проблема mm-qcamera-daemon.
[Джерело: FunkyAndroid | Дякуємо визнаному учаснику galaxyfreak за чайові!]