ニュース
» 2015年01月26日 18時27分 UPDATE

Google、古いAndroid向けWebViewパッチ打ち切りについて説明

GoogleがWebブラウザのWebViewの脆弱性修正パッチについて、Android 4.3(コードネーム:Jelly Bean)以前については提供しないことを正式に認めた。該当するOS搭載端末ユーザーは、「ブラウザ」ではなくChromeやFirefoxをダウンロードして使うことでリスクを回避できるとしている。

[佐藤由紀子,ITmedia]

 米GoogleでAndroidセキュリティ担当リードエンジニアを務めるエイドリアン・ラドウィッグ氏は1月24日(現地時間)、旧バージョンのAndroidについて、同社が脆弱性を修正するパッチの提供を打ち切ったという情報について説明した。この情報は12日、Rapid7の研究者であるトッド・ビアズリー氏がブログで伝えたものだ。

 ビアズリー氏は、Googleに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4(コードネーム:KitKat)よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」という返事を受けたという。

 Google自身が公開している統計によると、1月5日の時点で使われているAndroid端末のOSで、4.4より前のバージョンが占める割合は60%以上だ。

 ラドウィッグ氏は、WebViewの脆弱性パッチについてはAndroid 4.3(コードネーム:Jelly Bean)以前向けは提供しないと認め、その理由を次のように説明した。

 「最近までAndroid 4.3以前についてもWebKitのバックポート(新版での修正を旧版に移植すること)を提供してきたが、WebKit単体でも500万行のコードで成り立っており、さらに何百人もの開発者が毎月のように何千もの新機能を追加しているため、場合によっては2年以上前のWebKitブランチに脆弱性パッチをあてるには膨大なコードの書き換えが必要で、それを安全に実行するのは現実的ではない。ユーザーの多くがOSをアップグレードあるいは新端末に乗り換えており、レガシーなWebKitのセキュリティ問題の影響を受ける可能性のあるユーザーは日に日に減少している」(ラドウィッグ氏)

 android 1月5日時点でのAndroidのバージョン別シェア(Android Developersのダッシュボードより)

 また、Android 4.3以前を使っているユーザーに対しては、AndroidにプリインストールされているWebブラウザではなく、Chrome(Android 4.0以降に対応)あるいはFirefox(Android 2.3以降に対応)をGoogle Playからダウンロードして使うよう勧めた。これらのWebブラウザはWebViewの脆弱性に対処している。

 Rapid7のビアズリー氏はラドウィッグ氏がパッチ打ち切りを説明付きで認めたことをコメント欄で評価した上で、より具体的な対策の説明を求めた。ラドウィッグ氏からの回答はまだない。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -