米GoogleでAndroidのセキュリティ担当のリード・エンジニアを務めるAdrian Ludwig氏は1月24日(現地時間)、Google+において、Webコンテンツを表示するためのコンポーネント「WebView」の脆弱性を修正するパッチをAndroid 4.3以前については提供しないことを明らかにした。
Googleの古いAndroidのサポート終了については、Rapid7の研究者である Tod Beardsley氏が1月12日にブログで伝えたことから、話題になっていた。Beardsley氏が、Googleに4.4より前のAndroidにおいて新たな脆弱性が見つかったことを報告したところ、「WebViewの脆弱性が4.4よりも前のバージョンに影響を与えるとしても、われわれはパッチを作成しない」という回答がきたという。
Ludwig氏は、「最近まで、Android 4.3以前のバージョンについてWebkitのバックポートを提供してきた。Webkitだけでも500万行以上のコードから構成されているうえ、毎月、何百万人の開発者が何千もの新機能を追加している。こうした状況では、Webkitに対しパッチを安全に適用することは現実的ではなくなってきている。ユーザーはアップグレードや端末の切り替えを進めているため、WebViewの影響を受けるユーザーは減ってきている」と説明している。
また、古いAndroidを利用するユーザーに対しては、Google Playを介して、Chrome(Android 4.0以降に対応)とFirefox(Android 2.3以降に対応)をアップデートをして利用することを薦めている。