Il a été découvert une vulnérabilité dans Android, au niveau du composant WebView. Si Google a pris des mesures pour régler ce souci dans les versions 4.4 et 5.0 du système d'exploitation, l'entreprise n'a rien fait pour les moutures antérieures. Or, celles-ci demeurent encore largement utilisées.

Si vous utilisez une ancienne version d'Android sur votre terminal, n'escomptez pas profiter des correctifs que Google développe pour son système d'exploitation. En effet, la firme de Mountain View n'a pas l'intention de proposer des mises à jour pour des moutures qu'elle juge obsolètes, même si ces dernières sont encore utilisées par des millions d'utilisateurs à travers le monde.

La position de Google sur ce sujet est apparue lors d'une discussion sur le forum Rapid7. Dans un fil de discussion dédié aux vulnérabilités de WebView, un composant central pour l'affichage et le rendu des pages web sur un terminal Android, il a été constaté que la firme de Mountain View ne comptait pas s'occuper des versions d'Android antérieures à la branche 4.4 (KitKat).

"Si la version affectée de WebView est antérieure à la version 4.4, nous ne développons généralement les correctifs nous-mêmes", explique ainsi l'entreprise américaine. "Hormis une notification envoyée aux fabricants, nous ne serons pas en mesure d'agir sur le moindre signalement affectant les versions antérieures à la version 4.4 si celui-ci n'est pas accompagné d'un patch".

Autrement dit, plutôt que d'intervenir lui-même, Google se prononce pour une initiative extérieure pour fournir un correctif. Cependant, à la décharge du géant du web, le composant incriminé est profondément ancré dans les anciennes versions du système d'exploitation ce qui rendrait beaucoup plus difficile pour Google de déployer une mise à jour des appareils concernés, selon Engadget.

Selon Rapid7, WebView a  été remplacé dans la version 4.4 de la plateforme avec une version plus récente de WebView, et basée sur Chromium.

QUAND LA FAILLE AFFECTE DES VIEUX LOGICIELS POPULAIRES

Sorti en juillet 2013, Android 4.3 (Jelly Bean) est présent sur près de 4,3 % des terminaux qui ont été aperçus sur la boutique Google Play entre le 27 décembre et le 5 janvier, selon des statistiques communiquées par Google au début du mois. Concernant Android 4.4 (KitKat), il figure sur 39,1 % des appareils. Quant à Android 5.0 (Lollipop), son adoption est encore trop faible pour être comptabilisée.

Le problème dans cette affaire, c'est que les versions antérieures à la branche 4.4 se trouvent encore sur 60,9 % des terminaux utilisant Android. Autrement dit, c'est plus d'un appareil sur deux qui est concerné, d'autant que l'on ne prend en compte que les dispositifs qui ont été détectés entre le 27 décembre et le 5 janvier. Le nombre réel des produits potentiellement affectés est certainement plus grand.

Google n'a évidemment pas à assurer la maintenance ad vitam æternam des versions obsolètes d'Android. Toutefois, il est ausi attendu que soit prise en considération la situation du système d'exploitation avant de botter en touche ou de passer le dossier à d'autres, même si des versions plus récentes du système ont été proposées entretemps.

On l'a par exemple vu avec Windows. Officiellement, le support de Windows XP a pris fin l'an dernier et l'entreprise américaine recommande de passer à Windows 7 ou Windows 8. Toutefois, la société a exceptionnellement publié un patch pour Internet Explorer dans Windows XP alors que cela n'était pas initialement prévu.

Partager sur les réseaux sociaux

Articles liés