Android月例セキュリティ情報が公開、“Critical”10件を含む脆弱性47件

　Googleは4日、Android向けの月例セキュリティ情報を公開した。最も危険度の高い“Critical”10件を含む47件の脆弱性が含まれる。なお、今月分よりAndroid 5.0.2向けの情報は提供されない

　Androidのセキュリティ情報では、最も危険度の高い“Critical”6件を含む19件の脆弱性を修正する「2017-12-01」、“Critical”4件を含む28件の脆弱性を修正する「2017-12-05」の2つに分かれている。

　2017-12-01でCriticalとされる6件の脆弱性のうち5件はMedia framework、残る1件はSystemにおいて、攻撃者が細工したファイルを悪用し、特権プロセスのコンテキスト内でリモートからコードを実行できる可能性があるもの。

　2017-12-01で修正される脆弱性のうち、Android 8.0を対象とするのはCriticalの4件を含む16件。Android 7.1.2/7.1.1/7.0を対象とするのはCriticalの3件を含む14件。Android 6.0.1を対象とするのはCriticalの1件を含む11件。Android 6.0を対象とするのはCriticalの3件を含む13件。Android 5.1.1が7件でCriticalは含まれない。

　2017-12-05でCriticalとされる4件の脆弱性のうち3件は、Qualcommコンポーネントのもので、UDP RPCにおける2件と、WLANにおける1件。いずれも特権プロセスのコンテキスト内でリモートからコードを実行できる可能性がある。残る1件はQualcommクローズドソースコンポーネントにおけるもので、詳細は公表されていない。

　また、あわせてPixel/Pixel XL/Pixel CとNexus 5X/6/6P/9/Player向けにも月例セキュリティ情報を公開している。これらは「2017-12-05」のパッチレベルに含まれており、“Critical”1件を含む51件の脆弱性を修正するもの。セキュリティアップデートを含むファクトリーイメージは、各デバイス向けにOTAなどで12月5日より配信が開始される予定。

　発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。また、端末メーカーなどのパートナー各社には1カ月前までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。