Moins de trois semaines après avoir proposé Android 4.4.3 aux utilisateurs de terminaux Nexus, Google a lancé une dernière version de son OS intégrant un correctif pour une sérieuse vulnérabilité identifiée dans la librairie de chiffrement OpenSSL. Les images usines d'Android 4.4.4 utilisées pour la version build KTU84P ont été fournies pour les terminaux Nexus 4, 5, 7 et 10. La mise à jour sera par ailleurs poussée également de façon automatique sur les différents terminaux de Google.
La mise à jour de sécurité porte essentiellement sur la CVE-2014-0224, une faille de sécurité identifiée récemment dans OpenSSL, l'une des librairies les plus populaires supportant les protocoles de communications sécurisées SSL et TLS. La vulnérabilité CVE-2014-0224 peut être exploitée par une attaque de type Man of the middle pour déchiffrer et modifier le trafic entre un client et un serveur utilisé simultanément OpenSSL. La faille a été corrigée dans OpenSSL 1.0.1h le 5 juin.
Android 4.4.4 corrige une faille OpenSSL
La dernière version d'Android pour les terminaux Nexus apporte un correctif de sécurité pour la librairie OpenSSL.