JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性 (2013.12.18)
ブラウザはGoogle Chrome, Firefox, Operaのいずれかを使ったほうが良いです。
でも、最初から入っている、地球儀マークでインターネット出来ているから、いいじゃん。。
...というわけで、大多数の人は、古いAndroidで、標準ブラウザを使うわけですが。。汗
Androidのソースコードレベルでは、報告されてから60日以内に修正されているだろうし、その後のAPI設計の変更も適切だろうけれど、この問題はまさにOS側での修正が無理なら無理で、アプリケーション側での迂回や、ユーザー側での回避策(標準ブラウザを使わない、信用出来ないWiFiを使わない、等)が取れる状況であったのに、Googleからは脆弱性情報としては公表されなかった。
公表されることで攻撃される可能性が高まるのか、あるいは、個々のアプリ側の対策やユーザー側の自衛によってリスクが低くなるのか、どのタイミングでの公表が適切だったのか、ハッキリ言って全く分からない。わからないのだけれど、今となっては既に十分すぎるほど「公表されている」状態だと思うので、古いAndroidが市場に残っている以上は、アプリ開発者側での対策やユーザー側での自衛手段を周知していく必要があるんじゃないかと思う。(あるいは古いAndroidはサポート期限切れだから使うなと全力で広報する)