В новом Android 4.4.4 исправлена уязвимость OpenSSL

23.06.2014 | 00:11 Экономика

Новая версия Android, уже доступная для устройств Nexus, содержит обновления для системы безопасности, которые исправляют встроенную библиотеку OpenSSL

Менее чем через три недели после выхода Android 4.4.3 для пользователей устройств Nexus, Google выпустила новую версию ОС, включающую патч для исправления серьезной уязвимости в криптографической библиотеке OpenSSL.

Android 4.4.4, использующий билд версии KTU84P, был выпущен в четверг для Nexus 4, 5, 7 и 10.

В сообщении на веб-сайте сообщества Sprint отмечается, что обновление содержит исправления безопасности и будет развернуто на устройствах в пакетном режиме.
Менеджер программы Android Саша Пруетер пролил свет на изменения в новой версии на свой странице Google+, отвечая на вопрос, полученный от пользователя.

Обновление «в первую очередь решает проблему CVE-2014-0224», сказал он.
CVE-2014-0224 является идентификационным номером в базе данных Common Vulnerabilities and Exposures для серьезной уязвимости безопасности, найденной недавно в OpenSSL, одной из самых популярных библиотек для поддержки протоколов безопасных коммуникаций SSL (Secure Sockets Layer) и TLS (Transport Layer Security).

Уязвимость CVE-2014-0224 может быть использована в атакующим для расшифровки и изменения трафика между клиентом и сервером, использующих OpenSSL, если сервер использует версию OpenSSL 1.0.1 или более новую. Уязвимость была исправлена в версии OpenSSL 1.0.1h, выпущенной 5 июня.

Согласно недавнему сканированию компании безопасности Qualys, около 14% из самых популярных 155,000 сайтов Интернета с поддержкой SSL имеют уязвимость CVE-2014-0224.
Библиотека OpenSSL поставляется в комплекте с Android и используется браузером Google Chrome, а также другими приложениями мобильной платформы.