<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body><div> </div>
<div> </div>
<div> </div>
<div>On Thu, Sep 18, 2014, at 11:57 AM, Adam Kruger wrote:<br></div>
<blockquote type="cite"><div dir="ltr"><div>Hey folks. Just wondering what you guys are planning to do about this in Orweb.<br></div>
</div>
</blockquote><div> </div>
<div> </div>
<div>Orweb only allows on window at a time, and no tabs. I need to dig deeper into the bug, but my hope was that we aren't vulnerable because of that.</div>
<div> </div>
<blockquote type="cite"><div dir="ltr"><div> </div>
<div>We're planning a release of Psiphon to disable JavaScript entirely (with no option for it to be enabled) in our built-in browser on Android 3.0 through 4.3 (<a href="https://bitbucket.org/psiphon/psiphon-circumvention-system/branch/CVE-2014-6041-mitigation">https://bitbucket.org/psiphon/psiphon-circumvention-system/branch/CVE-2014-6041-mitigation</a>).<br></div>
<div> </div>
<div>We haven't seen an authoritative list of affected Android versions, but in our own testing we found that 2.2 and 2.3 aren't vulnerable.<br></div>
<div> </div>
<div>It seems pretty harsh but we don't have any better ideas to prevent our users from having an unsafe Internet experience.<br></div>
<div> </div>
</div>
</blockquote><div> </div>
<div>Have you seen our work on Orfox? I think we are going to accelerate a release there, and kill off all of our WebView based efforts.</div>
</body>
</html>