Google、Android 4.3以下のWebView問題について声明を発表
Google が Android 4.3(Jelly Bean)以下の WebView コンポーネントをアップデートしないと伝えられていた件で、Google の Adrian Ludwig 氏が自身の Google+ ページでその真相や経緯を公表しました。
WebView は、Android アプリが独自のレンダリングエンジンを実装することなく WEB ページを表示できる機能のことです。Android 4.3 まではオープンソースの WebKit をベースにしていましたが、Android 4.4 で Google 主導で開発・メンテナンスされている Chromium ベースに変わり、Android 5.0 でシステムから切り離され Google Play ストアを通じてアップデートされるようになりました。
同氏は投稿の中で、Jelly Bean に統合されている Webkit のブランチが 2 年以上も前に出来たものであり、数多くの開発者が 1 か月あたり数千ものコミットを行っている大規模なオープンソースプロジェクトからセキュリティパッチを統合することをもはや現実的ではないと判断し、Android 4.4 で Chromium に移行したことを明らかにしました。
Google は以前より Webkit にパッチが上がってくるとそれを AOSP にマージする作業を行うことで、端末メーカーらに対してセキュリティパッチを提供してきましたが、Android 5.0 でシステムから切り離したので、そのプロセスすらなくなっています。
Jelly Bean 以下では上記のようなサポートプロセスをとっていたことから、もし Webkit セキュリティホールが見つかったとしても、最終的には端末メーカーが適用するかしないかを判断することになるので、端末メーカーがセキュリティアップデートを行わない場合、Google からパッチが提供されたとしても、ユーザーの端末にはバグが残ったままになります。
Google がある意味でメーカーの代わりに行っていたことを止めたために、Jelly Bean 以下の端末のパッチ作業をメーカーが直接対応しなければならなくなっただけのことです。
Google はまた、Jelly Bean 以下でも Webkit ではなく Chrome や Firefox などのタイムリーにメンテナンスされている外部のブラウザアプリを利用するなどしても従来と同じ機能を実現できるとしたほか、新たなセキュリティホールが発見されたとしても安全が確認されているソースのみ利用するなどしてユーザーを被害から防ぐことができるとも述べています。
Source : Google+
関連記事
週間ランキング
None Found