Androidに内蔵されたWebページレンダリングエンジンに「任意の Java のメソッドが実行される」という極めて深刻な脆弱性があることが発表された。
脆弱性情報サイトJVN(Japan Vulnerability Notes)で該当機種などの情報がまとめられている。また、発見者のブログに原因箇所の説明などが、中国の脆弱性情報サイトWooYun.orgには実証コードが掲載されている。

この脆弱性が存在する端末では、細工されたWebページにアクセスすると、ブラウザが保存しているパスワードの不正送信など、様々な動作をブラウザ上で勝手に実行させられてしまう。
動作を実行するのはブラウザなので、ブラウザにパーミッション(権限)が与えられていない動作は実行できないが、標準ブラウザには「連絡先の読み取り」の権限も与えられているので、電話帳を流出させることも出来てしまうようだ。
標準ブラウザだけでなく、RSSリーダーなどに内蔵されたWebページ表示機能も、Androidのレンダリングエンジンを利用している物が多く、同様の脆弱性が存在する。

影響を受けるのは、Android 3.0から4.1.xを搭載した機種とのことで、2011年夏～2012年冬頃に発売された機種が該当する。2013年以降に発売された機種は、最初から修正済みのようだ。
NTTドコモとSoftbankから発売の機種は、多くの機種で2013年夏頃までに、一番遅かった富士通の「F-09D ANTEPRIMA」も2013年12月16日に、全ての機種で脆弱性を修正するソフトウェアアップデートが提供済みとなっているので、必ずアップデートしておこう。

auのスマホでは、「HTC EVO 3D ISW12HT」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」「URBANO PROGRESSO」の4機種が、修正プログラム未提供(提供検討中)のままとなっている。
これらの機種を使っている人は、FirefoxやChromeなど自前のレンダリングエンジンを搭載したブラウザを使用し、RSSリーダーなど標準レンダリングエンジンを利用して不特定多数のページを表示するアプリの使用は控えるようにした方がいいだろう。

・JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性

・いまさらブログ: Androidの脆弱性（まとめ版）

・いまさらブログ: Androidの脆弱性を見つけちゃった話

・小米手机自带浏览器远程命令执行漏洞（可挂马） | WooYun-2013-36258 | WooYun.org

auの4機種を除くほとんどの機種では、システムアップデートでこの脆弱性を修正できる。該当機種でなくても、システムアップデートは重要だ。アプリ開発の検証用など特別な理由がなければ、面倒くさがらずに迅速に適用するようにしよう。

auの以下の4機種は修正パッチが未提供だ。FirefoxやChromeなど、独自のレンダリングエンジンを内蔵したブラウザを使うようにしよう。

HTC EVO 3D ISW12HT
URBANO PROGRESSO
MOTOROLA RAZR IS12M
MOTOROLA XOOM TBi11M

・Japan Vulnerability Notes／ＫＤＤＩ株式会社からの情報

・Chromeブラウザ-Google – Google Play の Android アプリ

・Firefox モバイルブラウザ – Google Play の Android アプリ