Googleは6日、Android向けの月例セキュリティ情報と、Pixel/Pixel XL/Pixel CとNexus 5X/6/6P/9/Player向けの月例セキュリティ情報を公開した。通称「KRACKs」と呼ばれるWPA2/WPAにおける9件の脆弱性も含まれる。なお、今月分よりAndroid 4.4.4向けの情報は提供されない。

　Androidのセキュリティ情報では、最も危険度の高い“Critical”6件を含む11件の脆弱性を修正する「2017-11-01」、“Critical”3件を含む11件の脆弱性を修正する「2017-11-05」、“High”9件の脆弱性を修正する「2017-11-06」の3つに分かれている。

　このうち2017-11-06が、「KRACKs」と呼ばれているWPA2/WPAにおける脆弱性「CVE-2017-13077～13082」「CVE-2017-13086～13088」の9件を修正するもの。うちAndroid 8.0/7.1.2/7.1.1/7.0/6.0.1/6.0/5.1.1/5.0.2を対象とするものが8件で、Android 8.0/7.1.2/7.1.1/7.0を対象とするのが「CVE-2017-13082」の1件となる。

　2017-11-01でCriticalとされる6件の脆弱性のうち5件はMedia framework、残る1件はSystemにおいて、攻撃者が細工したファイルを悪用し、特権プロセスのコンテキスト内でリモートからコードを実行できる可能性があるものだ。

　2017-11-01で修正される脆弱性のうち、Android 8.0を対象とするのはCriticalの6件を含む11件。Android 7.1.2/7.1.1/7.0/6.0.1/6.0を対象とするのはCriticalの6件を含む10件。Android 5.1.1/5.0.2がCriticalの2件を含む4件。

　2017-11-05でCriticalとされる3件の脆弱性は、Qualcomm Wi-Fiドライバーにおけるもの。いずれも特権プロセスのコンテキスト内でリモートからコードを実行できる可能性がある。

　Pixel/Nexus各デバイス向けのセキュリティ修正は、「2017-11-05」のパッチレベルに含まれており、53件の脆弱性を修正するもの。“Critical”は含まれない。このほかBluetoothやオーディオ、カメラなどにおける12件の機能アップデートも含まれる。セキュリティアップデートを含むファクトリーイメージは、各デバイス向けにOTAなどで配信される。

　発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。また、端末メーカーなどのパートナー各社には1カ月前までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。

　なお、現在編集部では国内携帯電話キャリアに問い合わせを行っており、回答があり次第、順次お伝えする。

【追記 15:59】
　NTTドコモでは、WPA2/WPA脆弱性の対象となるAndroidスマートフォンの機種について「現在調査中」（広報部）とのことだ。