米Googleは11月6日 (現地時間)、Androidのセキュリティアップデートに関する情報 (Android Security Bulletin)の2017年11月版を公開した。Wi-Fiに用いられている暗号化技術WPA2/WPAの脆弱性、QualcommのWLANドライバーの脆弱性などに対処している。
WPA2/WPAの脆弱性は今年10月に明らかになったもので、「KRACKs」という手法によって、通信の盗聴、攻撃コードの埋め込みといった様々な攻撃に悪用される恐れがある。11月のセキュリティパッチ「2017-11-06」でWPA2/WPAの脆弱性9件 (「CVE-2017-13077~13082」「CVE-2017-13086~13088」)を修正する。アップデート対象となるAOSP (Android Open Source Project)バージョンは、「CVE-2017-13082」のみAndroid 7.0/7.1.1/7.1.2/8.0、他の8件はAndroid 5.0.2/5.1.1/6.0/6.0.1/7.0/7.1.1/7.1.2/8.0。
WPA2/WPAの脆弱性はWi-Fi対応機器の多くが影響を受けることから注目を集めているが、これまでのところKRACKsによる攻撃の報告はなく、深刻度は「High」である。一方、セキュリティパッチ「2017-11-05」で修正されるQualcommのWLANドライバーが含む脆弱性「CVE-2017-11013~11014」の深刻度は「Critical」だ。攻撃者がリモートからユーザーに不審を抱かせることなく不正なコードを実行できる可能性がある。もう1つのセキュリティパッチ「2017-11-01」も、Mediaフレームワークに関する6件の「Critical」な脆弱性の修正を含む。
Googleはまた、Pixel / Nexusの月例セキュリティ情報 (Pixel / Nexus Security Bulletin)の11月版も公開した。修正される脆弱性の多くは「Moderate」で「Critical」は含まれない。機能アップデート (Functional updates)は、Bluetoothやカメラ、オーディオなど12件。ユーザーから報告されていたPixel 2シリーズのOLEDディスプレイの焼き付きやクリックノイズの問題に関して、Saturatedカラーモードといった対処策を11月のソフトウエアアップデートで講じており、引き続き12月のアップデートでも改善していくことを約束している。
