تاريخ النشر: 05 تشرين الأول (أكتوبر) 2015 | تاريخ التعديل: 28 نيسان (أبريل) 2016
لقد طرحنا تحديثًا للأمان على أجهزة Nexus من خلال تحديث عبر الهواء (OTA) كجزء من عملية الإصدار الشهري لنشرات أمان Android. تم أيضًا طرح صور البرامج الثابتة لأجهزة Nexus على موقع Google Developers الإلكتروني. تعالج الإصدارات LMY48T أو الإصدارات الأحدث (مثل LMY48W) وAndroid M مع تصحيح الأمان المستوى ليوم 1 تشرين الأول (أكتوبر) 2015 أو الإصدارات الأحدث هذه المشاكل. يُرجى الرجوع إلى مستندات Nexus للحصول على تعليمات حول كيفية التحقّق من مستوى تصحيح الأمان.
تم إشعار الشركاء بهذه المشاكل في 10 أيلول (سبتمبر) 2015 أو قبل ذلك. تم إصدار تصحيحات رمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP).
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على الجهاز المتأثّر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفُّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي تقارير عن استغلال العملاء النشطين لهذه الصعوبات التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الإجراءات الوقائية لمعرفة تفاصيل عن وسائل حماية نظام أمان Android الأساسي ووسائل حماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي. وننصحك بقبول هذه التعديلات على أجهزتك.
إجراءات التخفيف
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على نظام التشغيل Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يعمل فريق أمان Android على رصد إساءة الاستخدام بنشاط باستخدام ميزتَي "التحقّق من التطبيقات" وSafetyNet اللتين ستحذران من التطبيقات التي يُحتمَل أن تتسبّب بضرر والتي يوشك أن يتم تثبيتها. إنّ أدوات الوصول إلى الجذر للأجهزة محظورة على Google Play. لحماية المستخدمين الذين يثبّتون التطبيقات من خارج Google Play، تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا وستحذّر المستخدمين من التطبيقات المعروفة التي تم إجراء عملية "التجذير" عليها. تحاول ميزة "التحقّق من التطبيقات" رصد التطبيقات المُضرة المعروفة التي تستغل ثغرة أمنية في تصعيد الأذونات وحظر تثبيتها. إذا سبق تثبيت أحد هذه التطبيقات، سيُرسِل تطبيق "التحقّق من التطبيقات" إشعارًا إلى المستخدم وسيحاول إزالة أي تطبيقات من هذا النوع.
- عدّلت Google تطبيقَي Hangouts وMessenger بما يناسب لكي لا يتم نقل الوسائط تلقائيًا إلى العمليات المعرّضة للاختراق (مثل mediaserver).
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- "بريندان لاوتنر": CVE-2015-3863
- تشيا تشيه وو وشيوشيان جيانغ من فريق C0RE في Qihoo 360: CVE-2015-3868 وCVE-2015-3869 وCVE-2015-3862
- ياجين تشو ولي وو وشيكسيان جيان من فريق C0RE في Qihoo 360: CVE-2015-3865
- "دانيال ميراي" (daniel.micay@copperhead.co) في شركة Copperhead Security: CVE-2015-3875
- dragonltx من فريق أمان الأجهزة الجوّالة في Alibaba: CVE-2015-6599
- إيان بير وستيفن فيتيتوا من فريق Project Zero في Google: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) وIván Arce (@4Dgifts) من Programa STIC في Fundación Dr. Manuel Sadosky، بوينوس آيرس، الأرجنتين: CVE-2015-3870
- جوش دريك من شركة Zimperium: CVE-2015-3876 وCVE-2015-6602
- جوردان غروسكوفناك من Exodus Intelligence (@jgrusko): CVE-2015-3867
- بيتر بي من Trend Micro: CVE-2015-3872 وCVE-2015-3871
- بينغ لي من شركة Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Seven Shen: CVE-2015-6600 وCVE-2015-3847
- وانغ تاو(نيوبيت) من فريق Baidu X-Team: CVE-2015-6598
- Wish Wu من شركة Trend Micro Inc. (@wish_wu): CVE-2015-3823
- مايكل رولاند من JR-Center u'smile في جامعة العلوم التطبيقية، النمسا العليا/ هاغنبرغ: CVE-2015-6606
نريد أيضًا تقدير مساهمات فريق أمان Chrome وفريق أمان Google وProject Zero والأفراد الآخرين في Google لإبلاغنا بالعديد من المشاكل التي تم إصلاحها في هذه النشرة.
تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 1 تشرين الأول (أكتوبر) 2015. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يعرض CVE والعيوب المرتبطة بها ومستوى خطورتها والإصدارات المتأثّرة بها وتاريخ الإبلاغ عنها. لقد ربطنا تغيير AOSP الذي تم من خلاله حلّ المشكلة برقم تعريف الخطأ، إن توفّر. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع AOSP إضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرات تنفيذ الرموز البرمجية عن بُعد في libstagefright
هناك ثغرات أمنية في libstagefright يمكن أن تسمح للمهاجم، أثناء معالجة ملفات الوسائط والبيانات لملف تم إنشاؤه خصيصًا، بإتلاف الذاكرة وتنفيذ رمز برمجي عن بُعد في خدمة mediaserver.
تم تصنيف هذه المشاكل على أنّها ذات خطورة بالغة بسبب إمكانية تنفيذ رمز برمجي عن بُعد كخدمة مميّزة. يمكن للمكونات المتأثرة بالثغرة الوصول إلى مجرى البث المتعلق بالصوت والفيديو، بالإضافة إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | حرِج | 5.1 والإصدارات الأقدم | Google داخلي |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | حرِج | 5.0 و5.1 | Google داخلي | |
| CVE-2015-3823 | ANDROID-21335999 | حرِج | 5.1 والإصدارات الأقدم | 20 أيار (مايو) 2015 |
| CVE-2015-6600 | ANDROID-22882938 | حرِج | 5.1 والإصدارات الأقدم | 31 تموز (يوليو) 2015 |
| CVE-2015-6601 | ANDROID-22935234 | حرِج | 5.1 والإصدارات الأقدم | 3 آب (أغسطس) 2015 |
| CVE-2015-3869 | ANDROID-23036083 | حرِج | 5.1 والإصدارات الأقدم | 4 آب (أغسطس) 2015 |
| CVE-2015-3870 | ANDROID-22771132 | حرِج | 5.1 والإصدارات الأقدم | 5 آب (أغسطس) 2015 |
| CVE-2015-3871 | ANDROID-23031033 | حرِج | 5.1 والإصدارات الأقدم | 6 آب (أغسطس) 2015 |
| CVE-2015-3868 | ANDROID-23270724 | حرِج | 5.1 والإصدارات الأقدم | 6 آب (أغسطس) 2015 |
| CVE-2015-6604 | ANDROID-23129786 | حرِج | 5.1 والإصدارات الأقدم | 11 آب (أغسطس) 2015 |
| CVE-2015-3867 | ANDROID-23213430 | حرِج | 5.1 والإصدارات الأقدم | 14 آب (أغسطس) 2015 |
| CVE-2015-6603 | ANDROID-23227354 | حرِج | 5.1 والإصدارات الأقدم | 15 آب (أغسطس) 2015 |
| CVE-2015-3876 | ANDROID-23285192 | حرِج | 5.1 والإصدارات الأقدم | 15 آب (أغسطس) 2015 |
| CVE-2015-6598 | ANDROID-23306638 | حرِج | 5.1 والإصدارات الأقدم | 18 آب (أغسطس) 2015 |
| CVE-2015-3872 | ANDROID-23346388 | حرِج | 5.1 والإصدارات الأقدم | 19 آب (أغسطس) 2015 |
| CVE-2015-6599 | ANDROID-23416608 | حرِج | 5.1 والإصدارات الأقدم | 21 آب (أغسطس) 2015 |
ثغرات تنفيذ الرموز البرمجية عن بُعد في Sonivox
هناك ثغرات أمنية في Sonivox يمكن أن تسمح لمهاجم بتنفيذ رمز برمجي عن بُعد في خدمة mediaserver، وذلك أثناء معالجة ملف وسائط تم إنشاؤه خصيصًا. تم تصنيف هذه المشكلة على أنّها خطيرة للغاية بسبب إمكانية تنفيذ رمز عن بُعد كخدمة مميّزة. يمكن للعنصر المتأثر بالخطأ الوصول إلى عمليات بث الصوت والفيديو، بالإضافة إلى الوصول إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها بشكلٍ طبيعي.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | حرِج | 5.1 والإصدارات الأقدم | عدة تعليقات |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
ثغرات تنفيذ الرموز البرمجية عن بُعد في libutils
هناك ثغرات أمنية في libutils، وهي مكتبة عامة، في معالجة الملفات الصوتية. يمكن أن تسمح هذه الثغرات الأمنية للمهاجمين، أثناء معالجة ملف تم إنشاؤه خصيصًا، بإتلاف الذاكرة وتنفيذ رمز برمجي عن بُعد في خدمة تستخدم هذه المكتبة، مثل mediaserver.
يتم توفير الوظيفة المتأثرة كواجهة برمجة تطبيقات، وهناك تطبيقات متعدّدة تتيح الوصول إليها باستخدام محتوى عن بُعد، وأبرزها الرسائل القصيرة الوسائط (MMS) وتشغيل الوسائط في المتصفّح. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في خدمة مميّزة. يمكن للعنصر المتأثّر الوصول إلى أحداث الصوت والفيديو، فضلاً عن الوصول إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | حرِج | 5.1 والإصدارات الأقدم | 15 آب (أغسطس) 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | حرِج | 5.1 والإصدارات الأقدم | 15 آب (أغسطس) 2015 |
ثغرة أمنية في Skia تتيح تنفيذ رمز عن بُعد
يمكن استغلال ثغرة أمنية في مكوّن Skia عند معالجة ملف وسائط مُعدّ خصيصًا، ما قد يؤدي إلى تلف الذاكرة وتنفيذ رمزبرمجي عن بُعد في عملية مميّزة. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد من خلال عدة methods هجمات، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفّات media.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | حرِج | 5.1 والإصدارات الأقدم | 30 تموز (يوليو) 2015 |
ثغرات تنفيذ رمز برمجي عن بُعد في libFLAC
هناك ثغرة أمنية في libFLAC في معالجة ملفات الوسائط. يمكن أن تسمح هذه الثغرات الأمنية للمهاجم بتنفيذ تعليمات برمجية عن بُعد وإتلاف الذاكرة أثناء معالجة ملف تم إنشاؤه بطريقة خاصة.
يتم توفير الوظيفة المتأثرة كواجهة برمجة تطبيقات للتطبيق، وهناك تطبيقات متعدّدة تتيح الوصول إليها باستخدام محتوى عن بُعد، مثل تشغيل الوسائط في المتصفّح. تم تصنيف هذه المشكلة على أنّها ذات خطورة بالغة بسبب احتمالية تنفيذ رمز عن بُعد في خدمة مميّزة. يمكن للкомпонент المتأثّر بالخطأ الوصول إلى مصادر الصوت والفيديو، بالإضافة إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | حرِج | 5.1 والإصدارات الأقدم | 14 تشرين الثاني (نوفمبر) 2014 |
ثغرة أمنية في KeyStore تتعلّق بتجاوز الأذونات
قد يتم استغلال ثغرة أمنية لرفع مستوى الأذونات في مكوّن KeyStore من خلال تطبيق ضار عند الاتصال بواجهة برمجة التطبيقات KeyStore API. يمكن أن يؤدي هذا التطبيق إلى تلف الذاكرة وتنفيذ رموز عشوائية في سياق KeyStore. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية لأنّه يمكن استخدامها للوصول إلى امتيازات لا يمكن لتطبيق تابع لجهة خارجية الوصول إليها مباشرةً.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | عالية | 5.1 والإصدارات الأقدم | 28 تموز (يوليو) 2015 |
ثغرة أمنية في إطار عمل مشغّل الوسائط تؤدي إلى تصعيد الأذونات
هناك ثغرة أمنية لرفع مستوى الأذونات في مكوّن إطار عمل مشغّل الوسائط، وقد تسمح هذه الثغرة لتطبيق ضار بتنفيذ رمز عشوائي في سياق mediaserver. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية لأنّها تسمح لتطبيق ضار بالوصول إلى امتيازات لا يمكن لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | عالية | 5.1 والإصدارات الأقدم | 14 آب (أغسطس) 2015 |
* التغيير الثاني لهذه المشكلة غير متوفر في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في "وقت تشغيل Android" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في Android Runtime تؤدي إلى الحصول على أذونات مميزة إلى تمكين أحد التطبيقات الضارّة المحلية من تنفيذ رمز برمجي عشوائي في سياق أحد التطبيقات النظامية التي تتمتع بأذونات مميزة. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية لأنّه يمكن استخدامها للحصول على إمكانات مميّزة، مثل أذونات Signature أو SignatureOrSystem، والتي لا يمكن لأحد التطبيقات التابعة لجهات خارجية الوصول إليها.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | عالية | 5.1 والإصدارات الأقدم | 8 آب (أغسطس) 2015 |
ثغرات تصعيد الأذونات في Mediaserver
هناك ثغرات أمنية متعددة في mediaserver يمكن أن تتيح لتطبيق محلي ضار تنفيذ رمز عشوائي في سياق خدمة محلية مميّزة. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية لأنّه يمكن استخدامها للوصول إلى امتيازات لا يمكن لتطبيق تابع لجهة خارجية الوصول إليها مباشرةً.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | عالية | 5.1 والإصدارات الأقدم | عدة تعليقات |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | عالية | 5.0 - 6.0 | Google داخلي |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في "مجموعة تقييم العناصر الآمنة" تؤدي إلى الحصول على أذونات مميزة وعالية المستوى
يمكن أن تسمح ثغرة أمنية في المكوّن الإضافي SEEK (مجموعة تقييم العناصر الآمنة، والمعروفة أيضًا باسم SmartCard API) لتطبيقٍ بحصوله على أذونات مميّزة بدون طلبها. تم تصنيف هذه الحالة على أنّها ذات خطورة عالية لأنّه يمكن استخدامها للحصول على إمكانات مميّزة، مثل أذونات Signature أو SignatureOrSystem، والتي لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | عالية | 5.1 والإصدارات الأقدم | 30 حزيران (يونيو) 2015 |
* يمكن العثور على الترقية التي تعالج هذه المشكلة على موقع SEEK لأجهزة Android الإلكتروني.
ثغرة أمنية في "عرض الوسائط" تؤدي إلى إساءة استخدام الأذونات المميزة والعالية المستوى
يمكن أن تسمح إحدى نقاط الضعف في مكوّن "إلقاء نظرة على الوسائط" بالكشف عن بيانات المستخدمين في شكل لقطات شاشة. تحدث المشكلة لأنّ نظام التشغيل يسمح بأسماء تطبيقات طويلة جدًا. قد يؤدي استخدام هذه الأسماء الطويلة من قِبل تطبيق ضار على الجهاز إلى منع ظهور تحذير بشأن تسجيل الشاشة أمام المستخدم. تم تصنيف هذه المشكلة على أنّها خطيرة بدرجة معتدلة لأنّه يمكن استخدامها للحصول على أذونات مرتفعة بشكل غير صحيح.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | متوسط | 5.0 - 6.0 | 18 آب (أغسطس) 2015 |
ثغرة أمنية في البلوتوث تؤدي إلى إساءة استخدام الأذونات المميزة والعالية المستوى
هناك ثغرة أمنية في مكوّن البلوتوث في Android يمكن أن تسمح لتطبيق ب حذف الرسائل القصيرة SMS المخزّنة. تم تصنيف هذه المشكلة على أنّها ذات خطورة متوسطة لأنّه يمكن استخدامها للحصول على أذونات مرتفعة بشكل غير صحيح.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | متوسط | 5.1 والإصدارات الأقدم | 8 تموز (يوليو) 2015 |
ثغرات أمنية في SQLite تؤدي إلى تصعيد الأذونات
تم اكتشاف عدة ثغرات أمنية في محرّك تحليل SQLite. قد يتم استغلال هذه الثغرات من خلال تطبيق محلي يمكنه أن يتسبب في تنفيذ طلب بحث SQL عشوائي من خلال تطبيق أو خدمة أخرى. يمكن أن يؤدي هجوم هائل إلى تنفيذ رمز عشوائي في سياق التطبيق المستهدَف.
تم تحميل حلّ إلى الإصدار الرئيسي من AOSP في 8 نيسان (أبريل) 2015، ما أدّى إلى ترقية إصدار SQLite إلى 3.8.9: https://android-review.googlesource.com/#/c/145961/
تتضمّن هذه النشرة تصحيحات لإصدارات SQLite في الإصدار 4.4 من نظام التشغيل Android (SQLite 3.7.11) والإصدارَين 5.0 و5.1 من نظام التشغيل Android (SQLite 3.8.6).
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | متوسط | 5.1 والإصدارات الأقدم | 7 نيسان (أبريل) 2015 معروفة للجميع |
ثغرات في Mediaserver تؤدي إلى حجب الخدمة
هناك عدة ثغرات أمنية في mediaserver يمكن أن تؤدي إلى حجب الخدمة من خلال تعطيل عملية mediaserver. يتم تصنيف هذه المشاكل على أنّها منخفضة الحدّة لأنّ تأثيرها يتمثل في تعطُّل خادم الوسائط مما يؤدي إلى حجب الخدمة مؤقتًا على الجهاز.
| CVE | أخطاء في روابط AOSP | درجة الخطورة | الإصدارات المتأثِّرة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | ضعيفة | 5.1 والإصدارات الأقدم | Google داخلي |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | ضعيفة | 5.0 - 6.0 | Google داخلي | |
| CVE-2015-3862 | ANDROID-22954006 | ضعيفة | 5.1 والإصدارات الأقدم | 2 آب (أغسطس) 2015 |
إصدارات
- 5 تشرين الأول (أكتوبر) 2015: تم نشر النشرة.
- 7 تشرين الأول (أكتوبر) 2015: تم تعديل النشرة لتتضمّن مراجع AOSP. تم توضيح المرجع المؤدي إلى الخطأ CVE-2014-9028.
- 12 تشرين الأول (أكتوبر) 2015: تم تعديل الإشعارات بشأن الثغرات الأمنية CVE-2015-3868 وCVE-2015-3869 وCVE-2015-3865 وCVE-2015-3862.
- 22 كانون الثاني (يناير) 2016: تم تعديل الإشعارات بشأن CVE-2015-6606.
- 28 نيسان (أبريل) 2016: تمت إضافة CVE-2015-6603 وتم تصحيح الخطأ الإملائي في CVE-2014-9028.