La nueva versión de Android para dispositivos Nexus es principalmente una actualización de seguridad para la biblioteca OpenSSL.

Menos de tres semanas después de liberar la versión 4.4.3 de Android para los usuarios de los dispositivos Nexus, Google lanzó una nueva versión del sistema operativo que incorpora un parche para una vulnerabilidad grave identificada en la biblioteca criptográfica OpenSSL.

Las imágenes de fábrica de Android 4.4.4 que usan la versión KTU84P fueron liberadas para Nexus 4, 5, 7 y 10, la noche del jueves.

Un post en el sitio web de la comunidad Sprint señaló que la actualización contiene correcciones de seguridad y se extenderá a los dispositivos en lotes.

Sascha Prueter, director de programación para Android en Google, compartió algunos detalles sobre los cambios en la nueva versión al responder una pregunta recibida de un usuario en su página de Google+. La actualización está "enfocada principalmente a CVE-2014-0224", dijo.

CVE-2014-0224 es el número de seguimiento en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) para un grave fallo de seguridad descubierto recientemente en OpenSSL, una de las bibliotecas más populares para soportar los protocolos de comunicaciones seguras SSL (Secure Sockets Layer) y TLS (Transport Layer Security ).

La vulnerabilidad CVE-2014-0224 puede ser explotada por un ataque man-in-the-middle para descifrar y modificar el tráfico entre un cliente y un servidor que utilizan OpenSSL, sucede si el servidor utiliza OpenSSL 1.0.1 o una versión más reciente. La falla fue corregida en OpenSSL 1.0.1h y liberada el 5 de junio.

De acuerdo con un análisis reciente realizado por el proveedor de seguridad Qualys, alrededor del 14 por ciento de los 155 mil sitios web más populares con SSL habilitado son vulnerables a posibles ataques que explotan CVE-2014-0224.

La biblioteca OpenSSL se incluye en Android y es utilizada por el navegador Google Chrome, así como por otras aplicaciones en la plataforma móvil.