Es bleibt zu hoffen, dass in zukünftigen Updates weiterhin Backports bekannter Fixes enthalten sein werden, wie hier zugesichert.
Das WebView-Problem wird sich jedoch nicht so einfach lösen lassen. Dazu müsste jemand eine Webview-Implementierung bauen, die auf einem modernen Browser-Unterbau basiert (bspw. Gecko oder Webkit), der sich auf dem aktuellen Stand halten lässt. So etwas scheint bisher nicht zu existieren und die Wahrscheinlichkeit, dass sich jemand die Mühe macht, wird mit jedem Tag, den Android-Versionen < 4.4 älter werden, geringer 
Nein. In erster Linie kommt es darauf an
- ob
- wie schnell
- wie lange
du Sicherheitsupdates für die auf deinem Telefon installierte Software erhältst. Die Verantwortung dafür liegt beim Hersteller. Die Versuchung, dem Nutzer und seinem Nutzungsverhalten an dieser Stelle einen Teil der Verantwortung zuzuschieben, ist zugegebenermaßen groß, aber es ist falsch.
Wenn du für dein Android-System schnell und zuverlässig Sicherheitsupdates erhältst, kannst du soviele zweifelhafte Playstore-Apps installieren und obskure Webseiten ansurfen, wie du willst - keine Anwendung wird aus ihrer Sandbox ausbrechen und sich Rechte verschaffen können, die die Sicherheit des Systems kompromittieren.