Спустя три недели после выхода Android 4.4.3 для Nexus компания Google выпустила новую версию платформы, включающую в себя патч, исправляющий серьезную уязвимость в криптографической библиотеке OpenSSL. Как сообщил менеджер Google по программе Android Саша Прутер (Sascha Prueter) в своей учетной записи в Google+, обновление исправляет уязвимость CVE-2014-0224 с высокой степенью опасности, связанную с ошибкой при обработке рукопожатий SSL/TLS.
Брешь позволяла злоумышленникам вызывать отказ в обслуживании, компрометировать системы, получать несанкционированный доступ к важной информации с возможностью ее изменения, а также осуществлять атаку “человек посередине”, если и клиент, и сервер использовали OpenSSL. Уязвимость устранена в версии библиотеки 1.0.1h, выпущенной 5 июня нынешнего года. По данным ИБ-компании Qualys, около 14% самых популярных из 15 тысяч сайтов, использующих протокол SSL, уязвимы к атакам с использованием этой бреши. (Android/NovostIT)