Googleは、Android 4.3(Jelly Bean)以下の端末に対して、WebViewコンポーネントのセキュリティアップデートをすでに打ち切っているようです。セキュリティ企業Rapid7のTod Beardsley氏が、同社ブログ上で明らかにしています。
WebViewは、Androidアプリにおいてウェブブラウザの機能を担うもので、そのアプリ内で別のブラウザアプリを開かなくてもウェブページを表示することなどができます。
Rapid7によれば、Googleは「(WebViewの)影響を受けるバージョンが4.4以前であれば、通常はわれわれ自身でパッチを開発することはしませんが、検討材料としてパッチと報告は歓迎します」と述べたとしています。
すなわち、今後Jelly Bean以下のAndroid端末でWebViewの脆弱性が見つかったとしても、Googleからはその脆弱性に対する修正パッチを提供されず、Androidのバージョン別シェアで未だ6割以上(9億3千万台)を占める端末が、公式のセキュリティ修正プログラムの対象外になる可能性が高いということです。
従来よりWebViewでは、外部インタフェースを持つ機能であることや使われる頻度も高いためか、脆弱性が多く報告されていますが、今後これらを悪用した攻撃が増加する危険性もあります。
SOURCE