Google refuse de patcher la vulnérabilité OS

Il s'agit d'une traduction automatique améliorée de cet article.

De nombreux fabricants proposent des mises à jour de sécurité pour les produits plus anciens en utilisant différentes stratégies. Par exemple, il ya certains comme Microsoft qui sont enclins à offrir des mises à jour de sécurité pour une période de temps après l’arrêt de la vente d’un système d’exploitation. D’autres, comme dans le cas de Google et Apple offrent de petits délais de mises à jour de sécurité.

Google nie bogues fixation dans Android 4.3 ou plus tôt et il ne se soucie pas du fait que ces insectes pourraient révéler des vulnérabilités critiques sur près d’un milliard d’appareils.

En fait, les bogues affectent Android 4.1 à 4.3 ou Jelly Bean, qui a été publié en 2012 et a représenté la première version d’Android avant la fin de 2013. Google a des problèmes dans le moteur d’analyse de WebView Android`s constamment fixe. Avant l’apparition de KitKat (Android 4.4), toutes les variantes Android`s fait usage de ce moteur d’analyse qui peut être consulté par le navigateur Android pour le rendu des pages Web HTML. Ainsi, avec KitKat et Lollipop, Google mis à niveau le système d’exploitation d’utiliser un plugin WebView qui vient de son projet Chromium.

Quand la forme de sécurité Rapid7 dit que Google Android 4.3 et au-dessous étaient sans défense, réaction Google`s soulevé diverses questions. La compagnie a dit qu’ils ne offrent les correctifs si la version de WebView est plus ancienne que 4.4, mais ils tiendront compte des patches pour examen. En outre, ils ne prendront en attention OEM seulement les problèmes qui affectent les versions 4.4 après qui viennent avec un patch. Cela signifie que le personnel de sécurité est prévu d’offrir un correctif pour corriger un problème quand il est rapporté. Si cela se produit, Google prendra en compte ce patch afin de reconnaître si elle résout effectivement le bug. Si la réponse est négative, Google ne informe nombreux équipementiers du problème. En d’autres termes, Google dit à sa communauté d’utilisateurs qu’ils doivent obtenir une version mise à jour de leur système d’exploitation de Samsung, LG et Motorola. Ceci ne est pas réalisable.

Le téléphone ou tablette utilisateur régulier n’a aucun moyen de remplacer son système d’exploitation à moins que le transporteur lui une mise à jour OTA offrir. Le fait qu’il existe deux cycles de mise à jour de l’année signifie que beaucoup de gens seront confrontés dispositifs rompu avec la reconnaissance du fait que Google ne fournira pas de fixation.

Comment Google essaie de pousser hors OEM open-source Android

La principale raison pour laquelle Google arrêté fixant les problèmes de navigateur Android est le fait que la société se tourne vers l’obtention d’équipementiers de cesser d’utiliser Android`s fonctionnalités open-source. Ceci est destiné à les modifier avec des caractéristiques strictement licence de Google. Quoi qu’il en soit, Google n’a pas l’intention de tuer Android. La société ne tente de se assurer que les seules parties du programme qui peut bénéficier de mises à jour de fonctionnalités, améliorations des capacités et des améliorations de performance sont ceux qui ont besoin d’accords de licence. En passant toute la responsabilité des mises à jour de sécurité sur les transporteurs et les chercheurs en sécurité, Google est en indiquant le fait que les OEM peuvent convenir à ses conditions de licence ou tout simplement porter le fardeau de fournir des mises à jour de sécurité qu’ils ne sont pas capables de le faire et ne ont pas les fonds à . Bottom line, alors que Google se bat sa guerre, les utilisateurs seront ceux qui vont souffrir de bugs et des appareils qui ne fonctionnent pas correctement. Google expose plus d’un milliard par les utilisateurs d’Android ne pas patcher les vulnérabilités du système d’exploitation. Nous verrons ce qui vient ensuite!