資安業者:Google不再修補Android 4.3及先前版本的漏洞,近10億用戶曝風險Google的Android安全團隊已決定不再修補Android 4.3(Jelly Bean)及之前版本的WebView漏洞,代表有超過9.3億的Android裝置用戶受到影響。 Beardsley向Google提報WebView漏洞時,Android安全團隊的事件處理窗口表示,如果受影響的是Android 4.4之前的版本,那麼Google一般不會再自己開發修補程式,但歡迎提報者附上修補程式。除了通知OEM業者外,Google不會再採取其他行動。 Beardsley說,他從沒看過一個漏洞提報專案要求提報者提供自己的修補程式,但這看起來就是Google的立場,由於太過離奇而難以相信,於是他再向Google確認,結果得到的幾乎完全一樣的答案。 微軟的破爛WinXP都推出10幾年才終於停止支援,想不到「Android 4.3」也沒用幾年,就已經不維護了! 🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏 |
Google解釋不修補舊版Android WebView漏洞原因:不切實際對於不再修補Android 4.3 (Jellybean)以及 以前版本的WebView漏洞,Google說明指出,這個做法就安全來說不切實際,而且舊版使用者只要採行一般的安全措施就可確保手機使用的安全。 Ludwig表示,WebView及瀏覽器是Google安全工作上長足進步的領域之一。Android4.4(Kitkat)讓OEM夥伴可利用Google提供的WebView執行binary update,而到Android 5.0(Lollipop)更可以直接透過Google Play更新,讓OEM什麼都不用做。先前Google都還提供Android 4.3及以前版本上WebView所使用的WebKit版本的反向移植修補程式(backport),但光是WebKit就有超過500萬行程式碼,上百名開發人員每個月都為它做數千次增修,有時為了修補2年以上的舊版WebKit得動到大量程式碼,對安全而言,這作法已不切實際。他指出,Android 4.4釋出後,隨著愈來愈多用戶升級到新裝置,受舊版Webkit安全問題影響的用戶也大幅減少。 才區區「2年以上的舊版WebKit」就不願意修補,還說「超過500萬行程式碼」這種荒謬可笑的理由! 🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏 |
顯然「從沒看過一個漏洞提報專案要求提報者提供自己的修補程式」跟底下的新聞一樣的扯!
