脆弱性検証ツール「Metasploit」を手掛けるRapid7は、GoogleがAndroid 4.3(Jelly Bean)のパッチを打ち切っていることを公開した。同社によると、Googleは最近までAndroid 4.3(Jelly Bean)の脆弱性に対して迅速にパッチの提供を行っていたが、最近になって4.4以前のバージョンのWebViewの脆弱性を報告したところ、4.4以前のバージョンについて今後は対応しない旨の返信がありパッチの開発を行わないことが分かった。Googleは現在、現行バージョンのLollipop(5.0)と1つ前のバージョンのKitKat(4.4)のみサポートし、今後Jelly Bean(4.0~4.3)に関するWebViewの脆弱性修正パッチは提供しない。しかし、2015年1月5日の時点でLollipopの普及率は0.1%以下、KitKatは約39%で、Jelly Beanは残る60%を占めている。そのため、今後脆弱性が公開されても9億3000万台以上のAndroid端末がセキュリティパッチ対象外となり、脆弱性が放置されることになり、攻撃者の標的となる恐れがあるため、注意が必要となる。
