HTC論壇

標題: Google不再修補Android 4.3及先前版本的漏洞 [打印本頁]

作者: f5ff1157-d119-4270-a6d8-e0a594a4788f 時間: 2015-1-13 14:44
標題: Google不再修補Android 4.3及先前版本的漏洞

Rapid7的資安研究員Tod Beardsley向Google提報WebView漏洞時，Android安全團隊的事件處理窗口表示，如果受影響的是Android 4.4之前的版本，那麼Google一般不會再自己開發修補程式，但歡迎提報者附上修補程式。除了通知OEM業者外，Google不會再採取其他行動。

Rapid7的滲透測試研究人員Tod Beardsley指出，Google的Android安全團隊已決定不再修補Android 4.3（Jelly Bean）及之前版本的WebView漏洞，代表有超過9.3億的Android裝置用戶受到影響。

WebView是一個內建於Android中的非瀏覽器網頁檢視工具，它無法執行JavaScript，且會忽略網頁錯誤，但可以用來閱讀網頁，進行網頁的縮放或文字搜尋，若要更進階的互動功能則需呼叫瀏覽器程式。

Beardsley表示，WebView是Android裝置中用來描繪網頁的核心元件，但Google在Android 4.4（KitKat）中改用了與Chrome瀏覽器一致，以Chromium專案為基礎的WebView版本，而Google安全團隊最新政策則決定不再修補Android 4.3及之前的WebView。

但Beardsley向Google提報WebView漏洞時，Android安全團隊的事件處理窗口表示，如果受影響的是Android 4.4之前的版本，那麼Google一般不會再自己開發修補程式，但歡迎提報者附上修補程式。除了通知OEM業者外，Google不會再採取其他行動。

Beardsley說，他從沒看過一個漏洞提報專案要求提報者提供自己的修補程式，但這看起來就是Google的立場，由於太過離奇而難以相信，於是他再向Google確認，結果得到的幾乎完全一樣的答案。

根據Google所公布的Android平台版本分布狀態，目前約有39.1%的Android裝置使用Android 4.4，Android 5.0 Lollipop則比例過少而未顯示比例。代表至少還有6成的舊版Android用戶將受到影響。Beardsley引用Gartner報告推估指出，這相當於約有9.3億的Android裝置。

Beardsley表示，這對滲透測試研究人員或對駭客來說都是好事，他相信會有大量的滲透測試鎖定舊版的Android裝置，同時也會造福駭客。開放源碼社群會定期公布漏洞細節並打造攻擊程式，目的是為了引起業者與使用者的注意，並督促業者開發修補程式，不過，當漏洞被公開且業者不願修補時，使用者就會永遠受到相關漏洞的影響。

事實上，滲透測試軟體開發業者Rapid7已經推出了11款與WebView漏洞有關的攻擊程式，相關的安全臭蟲可能會陸續出現，而且將會持續好一陣子。

Beardsley指出，他知道支援舊版軟體是件很麻煩的事，也同情Google的決定，但他仍舊呼籲Google重新考慮此事，因為畢竟有近10億的使用者仍仰賴舊版Android。

資料來源：資安業者：Google不再修補Android 4.3及先前版本的漏洞，近10億用戶曝風險

--

沒有升上4.4的裝置竟然還有這麼高的比例阿
不過站在營利者的角度來說，這樣才能促進消費者有更多的消費
Microsoft經過了這麼久也決定不再更新XP了
還好手上的BF2和BF1都是4.4.2(逃)

作者: e01b04ba-2fa8-426d-91af-267a27857d57 時間: 2015-1-13 15:28
剛查了我的手機，還是4.1.1,因為不喜歡，sense5.0，所以很久沒更新了。

作者: c3f9186a-6c4f-44cb-a581-5a37439c8540 時間: 2015-1-13 16:21
很多比較低階的裝置都還是使用4.2.2
連4.3都還不是
我認為應該要修補4.2以上的漏洞

作者: 46b30d34-6110-4300-8a92-188d4ae543b6 時間: 2015-1-13 18:54
喔，看了這篇才知道，原來Google有在修補漏洞喔!

歡迎光臨 HTC論壇 (https://community.htc.com/tw/)