Google hat die Nexus-Besitzer gestern mit einem erneuten kleinen Update überrascht: Android 4.4.4 ist — wie erwartet — ein Security-Update, schließt allerdings nicht die Lücke im Linux-Kernel, die Towelroot ausnutzt sondern behebt den ebenfalls kritischen Heartbleed-Bug durch eine neue OpenSSL-Version. Was sich noch geändert hat, lest ihr in unserem Artikel.
Google selbst veröffentlicht zu den kleineren Android-Updates keine detaillierten Informationen. Es gibt aber ein Script, um sich aus dem Android-Open-Source-Projekt die entsprechenden Informationen herauszuziehen. Nachdem JBQ Google vor nicht allzulanger Zeit verlassenhat, um sich bei Yahoo um Open-Source-Angelegenheiten zu kümmern, pflegt der Entwickler funkyandroid dieses Changelog. Nun sind auch die Informationen verfügbar, was sich zwischen Version KTU84M (4.4.3_r1.1) und KTU84P (4.4.4_r1) verändert hat. Aus der Liste von Funkyandroid stechen zunächst die Änderungen an der Compatibilty Test Suite hervor (CTS), diese dienen aber ledliglich internen Tests und sind nicht teil der ausgelieferten Firmware-Version.
Die restlichen Änderungen im Detail:
Project: platform/external/chromium_org
76d1172 : Backport „Recycle old V8 wrapper objects on navigations“
afae5d8 : Block access to java.lang.Object.getClass in injected Java objects
Zwei kleine Änderungen für den Chromium-Browser-Quellcode bezüglich des JavaScript-Motors V8 (verhindern Code-Einschleusung) und damit zusammenhängend die folgenden zwei Änderungen an der HTML-Engine WebKit:
Project: platform/external/chromium_org/third_party/WebKit
3fb1c1e : Fix Java Bridge wrapper properties cleanup for multi-frame pages
b13a6de : Cherry-pick „Export WebCore::forgetV8ObjectForNPObject“
Die wichtigster Änderung ist das Update auf die neue OpenSSL-Version 1.0.1h, die nicht mehr vom via OTA-Updatedatei die neue Version von Hand installieren. Die kompletten Firmware-Dateien für Nexus-Geräte (Factory Images) gibt es wie immer auf den Google-Servern zum Download.
Android User meint…
Eigentlich gingen wir davon aus, dass dieses Update auch die von Towelroot ausgenutzte Sicherheitslücke fixt. Aber schnell mal einen Bugfix im Kernel zurückzuportieren oder sogar ein Kernel-Update durchzuführen, bedeutet jede Menge Arbeit und auch jede Menge Tests. Zudem steht die Google I/O vor der Türe und wird uns ziemlich sicher eine neue Android-Version ( wir gehen von 4.5 aus) bringen, in die Google die meiste Energie investiert. Kann also gut sein, dass man in Mountain View auf ein separates Update für die Kernelschwachstelle, die Towelroot ausnutzt, aktuell verzichtet, und diese Lücke nicht mit 4.5 (das bereits fertig ist) stopft, sondern ziemlich sicher erst mit Android 4.5.1. Die jüngste Sicherheitslücke, die das aktuelle Update schließt, stammt vom 5. Juni – Google ist also keineswegs langsam!