正式に認めたね・・・

ITmediaの記事に、 Google、古いAndroid向けWebViewパッチ打ち切りについて説明 てのがありました。

米GoogleでAndroidセキュリティ担当リードエンジニアを務めるエイドリアン・ラドウィッグ氏が1月24日(現地時間)、旧バージョンのAndroidについて、同社が脆弱性を修正するパッチの提供を打ち切ったことを正式に認めたようです。

詳細は記事に譲りますが、WebViewの脆弱性パッチについてはAndroid 4.3(コードネーム:Jelly Bean)以前向けは提供しない事となり、少なくともデフォのブラウザの脆弱性は放置決定です。

ラドウィッグ氏曰く・・

「最近までAndroid 4.3以前についてもWebKitのバックポート(新版での修正を旧版に移植すること)を提供してきたが、WebKit単体でも500万行のコードで成り立っており、さらに何百人もの開発者が毎月のように何千もの新機能を追加しているため、場合によっては2年以上前のWebKitブランチに脆弱性パッチをあてるには膨大なコードの書き換えが必要で、それを安全に実行するのは現実的ではない。ユーザーの多くがOSをアップグレードあるいは新端末に乗り換えており、レガシーなWebKitのセキュリティ問題の影響を受ける可能性のあるユーザーは日に日に減少している」

だそうで、理解できなくはないけど、ユーザーが減少していてもゼロじゃないしねぇ。

中の人はいつまでもサポートしろなんて言いませんが、打ち切るなら打ち切るできっちり説明はすべきですね。御存知の通り、MSはキッチリ「XX年X月X日まではサポートするけど、それ以降は一切サポートしない」って決めてますよね。Androidもやはりこういった期限切りは必要だと思います。

サポート打ち切りの説明をきっちりした上で、対策としてどのようなものがあるのかをアナウンスすればいいと思うんですけどね。今回だって、デフォのブラウザの利用を止めて、Chrome(Android 4.0以降に対応)あるいはFirefox(Android 2.3以降に対応)をGoogle Playからダウンロードして使えばいいだけですよね。難しいことじゃありません。
世界のスマホOSシェアの約84%(2014/11時点、米トラテジー・アナリティクス調べによる)を握る企業として責任を果たす必要があるのでは?

とにかく、現在Android 4.3(コードネーム:Jelly Bean)以前のOSをご利用中の方は、可能な限りデフォのブラウザの利用を止めて、Chrome(Android 4.0以降に対応)あるいはFirefox(Android 2.3以降に対応)をGoogle Playからダウンロードしてご利用になることをお薦めします。