为什么Google赢了’不再更新KitKat WebKit之前的版本

两周前,Rapid 7研究人员 发现 Google将不再提供KitKat(v4.4)之前的Android版本中使用的WebView的安全补丁,这意味着,影响显示网页的核心组件的每个新错误都会使60%以上的Android用户处于危险之中在Android设备上运行,而无需用户打开其他应用。

该公司表示,Google仍将欢迎第三方制作的补丁程序,以供考虑并最终交付给OEM。

谷歌Android安全首席工程师Adrian Ludwig最近亲自解释了这一不受欢迎的公司决定的原因。

“仅WebKit就是超过500万行代码,数百名开发人员每个月都会添加数千个新提交,因此在某些情况下,将漏洞补丁程序应用于2年以上的WebKit分支需要对代码的重要部分进行更改,并且不再需要安全可行” he 解释 .

安卓 KitKat和Lollipop拥有基于Chromium的WebView的更新版本。

“With Google’在设备提供商的协助下,Android设备制造商(OEM)一直在迅速采取行动,以提高设备更新速度并向其提供最新版本的Android设备,” Ludwig pointed out.

“改善WebView和浏览器的安全性是我们的工作重点之一’取得了最大的进步。 Android 4.4(KitKat)允许OEM迅速交付Google提供的WebView二进制更新,而在Android 5.0(Lollipop)中,Google直接通过Google Play交付这些更新,因此OEM赢得了’不需要做任何事情。”

不过,有些用户可以’t or won’请更新至这两个最新的Android版本之一,并建议他们使用提供自己的内容呈现器并定期更新的浏览器(例如Chrome或Firefox)。

他还建议应用程序开发人员通过确保“只有信任的内容(例如从本地来源或通过HTTPS加载的内容)才会显示在其应用程序的WebView中,”并敦促他们考虑在Android 4.3及更低版本上提供自己的渲染器。

分享这个