更新日志 9 - Gello、Jelly 和安全公告

欢迎来到 LineageOS 的双周回顾，我们在此回顾过去几周的变化

自 5 月 2 日以来的主要变化

• 自动亮度滑块现已可在设置 > 状态栏 > 亮度中切换，该滑块位于快速设置中
• Gello 已被放弃，转而使用 Jelly。 请阅读下文以获取更多信息
• Jelly 获得了各种改进，包括桌面模式支持
• FlipFlap 现在可以从应用内禁用
• 拨号器中不正确的通话时长已修复
• Webview 已更新到最新的稳定版本（基于 Chromium 58）
• 修复了在某些情况下，使用摄像头的某些第三方应用中的崩溃问题

Gello 和 Jelly

上个月，我们推出了一款新的浏览器应用，代号为 Jelly，专为无法处理更重型浏览器（如 Gello 和/或 Chrome）的设备而设计。

我们长期以来一直发布基于 Chromium m42（日期为 2015 年 4 月）的 Gello，最近它在最新的上游合并中变得不可靠。 我们最终设法将其重新基于 Chromium m58，但它不会在 nightly 版本中发布。

Gello 对我们来说真的很难维护，这意味着用户最终会经常使用旧的、易受攻击的 Chromium 浏览器。 相比之下，Jelly 更容易维护，并且仅依赖于系统 webview（您也可以使用 Google 的 webview，该 webview 也从 Play 商店更新），因此我们决定放弃 Gello，而仅发布其小兄弟。

我们仍在寻找一种可靠的方法，允许仍然有兴趣获取可下载 Gello 的用户获取它，但在同时，您可以使用我们的 Gello 构建环境 来编译您自己的 Gello m58 APK。

内核 su-hide 以解决重要的漏洞

据称，即使在禁用“su”的情况下，Privacy Guard 实现的 ‘su’ 也存在安全漏洞。 换句话说，仅仅是 su 二进制文件的存在就足以危及设备。

不幸的是，报告此漏洞的人拒绝透露其确切性质，我们也无法确保正确修复此确切问题。 次佳的解决方案是确保仅当在“设置”应用中启用 su 时才可访问 su，并在不使用 su 时保持禁用状态。

我们创建了一个内核补丁，当 su 守护程序未运行时，该补丁从所有进程（root 和 system 除外）隐藏 su 的存在（root 需要访问权限，以便 init 可以启动 su 守护程序，而 system 需要访问权限，以便适当地填充 root 访问设置）。

这实际上使得未授权进程在 su 在设置中禁用时不可能利用 su。 实际上，这使得甚至无法看到 su 二进制文件的存在。 无论是直接（通过 stat /system/xbin/su）还是间接（通过 ls /system/xbin）都无法看到它。 这样做的一个副作用是，当 root 被禁用时，Play 服务也无法检测到 su 二进制文件，从而允许某些（较旧的）设备在安装但禁用 root 的情况下通过 SafetyNet。

此修复程序无法全局应用，但必须合并到每个设备的内核中。 如果您的设备尚未打补丁，或者您正在维护设备，请获取正确的补丁并尽快应用它（内核 3.18、3.10 和 3.4）。

这是一种预防措施。 我们不知道有任何针对此问题的活跃漏洞利用。

构建列表

14.1 设备的更改

• Nextbin Robin - ether 已重新添加 - 维护者：chrmhoffmann、crpalmer、mikeioannina
  • 维护者在过去几周辛勤工作， устраняя 错误，现在它已准备好再次用于 nightly 版本

移除的 14.1 设备

• Google Nexus 4 - mako - 不再积极维护

我们想提醒您，所有从构建列表中删除的设备都在等待新的维护者继续 nightly 版本。 如果您有兴趣维护已删除的设备，请对其进行修补，然后将您的工作提交到 Gerrit，我们欢迎您的贡献。