Xuất bản ngày 5 tháng 10 năm 2015 | Cập nhật ngày 28 tháng 4 năm 2016
Chúng tôi đã phát hành bản cập nhật bảo mật cho các thiết bị Nexus thông qua bản cập nhật qua mạng (OTA) trong quy trình phát hành Bản tin bảo mật Android hằng tháng. Hình ảnh firmware Nexus cũng đã được phát hành trên trang web dành cho nhà phát triển của Google. Các bản dựng LMY48T trở lên (chẳng hạn như LMY48W) và Android M có Bản vá bảo mật cấp ngày 1 tháng 10 năm 2015 trở lên sẽ giải quyết các vấn đề này. Hãy tham khảo tài liệu về Nexus để biết hướng dẫn về cách kiểm tra cấp bản vá bảo mật.
Đối tác đã được thông báo về những vấn đề này vào ngày 10 tháng 9 năm 2015 trở về trước. Các bản vá mã nguồn cho những vấn đề này đã được phát hành cho kho lưu trữ Dự án nguồn mở Android (AOSP).
Vấn đề nghiêm trọng nhất trong số này là lỗ hổng bảo mật nghiêm trọng có thể cho phép thực thi mã từ xa trên thiết bị bị ảnh hưởng thông qua nhiều phương thức như email, duyệt web và MMS khi xử lý tệp phương tiện. Mức độ đánh giá nghiêm trọng dựa trên tác động mà việc khai thác lỗ hổng có thể gây ra trên một thiết bị bị ảnh hưởng, giả sử các biện pháp giảm thiểu nền tảng và dịch vụ bị tắt cho mục đích phát triển hoặc nếu bị bỏ qua thành công.
Chúng tôi chưa nhận được báo cáo nào về việc khách hàng đang lợi dụng các vấn đề mới được báo cáo này. Hãy tham khảo phần Biện pháp giảm thiểu để biết thông tin chi tiết về các biện pháp bảo vệ nền tảng bảo mật của Android và các biện pháp bảo vệ dịch vụ như SafetyNet, giúp cải thiện tính bảo mật của nền tảng Android. Tất cả khách hàng đều nên chấp nhận các bản cập nhật này cho thiết bị của họ.
Giải pháp giảm thiểu
Đây là bản tóm tắt về các biện pháp giảm thiểu do nền tảng bảo mật Android cung cấp và các biện pháp bảo vệ dịch vụ như SafetyNet. Các tính năng này làm giảm khả năng khai thác thành công các lỗ hổng bảo mật trên Android.
- Việc khai thác nhiều vấn đề trên Android trở nên khó khăn hơn do các tính năng nâng cao trong các phiên bản mới hơn của nền tảng Android. Tất cả người dùng nên cập nhật lên phiên bản Android mới nhất nếu có thể.
- Nhóm Bảo mật Android đang chủ động theo dõi hành vi sai trái bằng tính năng Xác minh ứng dụng và SafetyNet. Các tính năng này sẽ cảnh báo về các ứng dụng có khả năng gây hại sắp được cài đặt. Các công cụ can thiệp vào hệ thống của thiết bị bị cấm trên Google Play. Để bảo vệ người dùng cài đặt ứng dụng bên ngoài Google Play, tính năng Xác minh ứng dụng được bật theo mặc định và sẽ cảnh báo người dùng về các ứng dụng can thiệp vào hệ thống đã biết. Tính năng Xác minh ứng dụng tìm cách xác định và chặn việc cài đặt các ứng dụng độc hại đã biết khai thác lỗ hổng nâng cao đặc quyền. Nếu người dùng đã cài đặt một ứng dụng như vậy, thì tính năng Xác minh ứng dụng sẽ thông báo cho người dùng và cố gắng xoá mọi ứng dụng như vậy.
- Khi thích hợp, Google đã cập nhật các ứng dụng Hangouts và Messenger để nội dung nghe nhìn không tự động được chuyển đến các quy trình dễ bị tấn công (chẳng hạn như mediaserver).
Lời cảm ơn
Chúng tôi xin cảm ơn những nhà nghiên cứu sau đây đã đóng góp:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu và Xuxian Jiang thuộc Nhóm C0RE của Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu và Xuxian Jiang thuộc Nhóm C0RE của Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) tại Copperhead Security: CVE-2015-3875
- dragonltx thuộc Nhóm bảo mật di động của Alibaba: CVE-2015-6599
- Ian Beer và Steven Vittitoe thuộc Project Zero của Google: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) và Iván Arce (@4Dgifts) của Programa STIC tại Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
- Josh Drake của Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak của Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi của Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li của Công ty TNHH Công nghệ Qihoo 360: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) của Nhóm X của Baidu: CVE-2015-6598
- Wish Wu của Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland của JR-Center u'smile tại Đại học Khoa học ứng dụng, Thượng Áo/ Hagenberg: CVE-2015-6606
Chúng tôi cũng muốn cảm ơn những đóng góp của Nhóm bảo mật Chrome, Nhóm bảo mật Google, Project Zero và các cá nhân khác trong Google đã báo cáo một số vấn đề được khắc phục trong bản tin này.
Chi tiết về lỗ hổng bảo mật
Trong các phần dưới đây, chúng tôi cung cấp thông tin chi tiết về từng lỗ hổng bảo mật áp dụng cho cấp bản vá 2015-10-01. Có phần mô tả vấn đề, lý do về mức độ nghiêm trọng và bảng chứa CVE, lỗi liên quan, mức độ nghiêm trọng, phiên bản bị ảnh hưởng và ngày báo cáo. Nếu có, chúng tôi đã liên kết thay đổi AOSP đã giải quyết vấn đề với mã lỗi. Khi nhiều thay đổi liên quan đến một lỗi, các tệp tham chiếu AOSP bổ sung sẽ được liên kết với các số theo sau mã lỗi.
Lỗ hổng thực thi mã từ xa trong libstagefright
Các lỗ hổng trong libstagefright có thể cho phép kẻ tấn công, trong quá trình xử lý tệp phương tiện và dữ liệu của một tệp được tạo đặc biệt, gây ra hỏng bộ nhớ và thực thi mã từ xa trong dịch vụ mediaserver.
Những vấn đề này được đánh giá là có mức độ nghiêm trọng là Critical (Nguy hiểm) do có khả năng thực thi mã từ xa dưới dạng một dịch vụ đặc quyền. Các thành phần bị ảnh hưởng có quyền truy cập vào luồng âm thanh và video cũng như quyền truy cập vào các đặc quyền mà các ứng dụng bên thứ ba thường không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Quan trọng | 5.1 trở xuống | Nội Bộ Google |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Quan trọng | 5.0 và 5.1 | Nội Bộ Google | |
| CVE-2015-3823 | ANDROID-21335999 | Quan trọng | 5.1 trở xuống | Ngày 20 tháng 5 năm 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Quan trọng | 5.1 trở xuống | Ngày 31 tháng 7 năm 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Quan trọng | 5.1 trở xuống | Ngày 3 tháng 8 năm 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Quan trọng | 5.1 trở xuống | Ngày 4 tháng 8 năm 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Quan trọng | 5.1 trở xuống | Ngày 5 tháng 8 năm 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Quan trọng | 5.1 trở xuống | Ngày 6 tháng 8 năm 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Quan trọng | 5.1 trở xuống | Ngày 6 tháng 8 năm 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Quan trọng | 5.1 trở xuống | Ngày 11 tháng 8 năm 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Quan trọng | 5.1 trở xuống | Ngày 14 tháng 8 năm 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Quan trọng | 5.1 trở xuống | Ngày 15 tháng 8 năm 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Quan trọng | 5.1 trở xuống | Ngày 15 tháng 8 năm 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Quan trọng | 5.1 trở xuống | Ngày 18 tháng 8 năm 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Quan trọng | 5.1 trở xuống | Ngày 19 tháng 8 năm 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Quan trọng | 5.1 trở xuống | Ngày 21 tháng 8 năm 2015 |
Lỗ hổng thực thi mã từ xa trong Sonivox
Các lỗ hổng trong Sonivox có thể cho phép kẻ tấn công, trong quá trình xử lý tệp phương tiện của một tệp được tạo đặc biệt, gây hỏng bộ nhớ và thực thi mã từ xa trong dịch vụ mediaserver. Vấn đề này được đánh giá là có mức độ nghiêm trọng là Critical (Nghiêm trọng) do có khả năng thực thi mã từ xa dưới dạng một dịch vụ đặc quyền. Thành phần bị ảnh hưởng có quyền truy cập vào luồng âm thanh và video cũng như quyền truy cập vào các đặc quyền mà các ứng dụng bên thứ ba thường không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Quan trọng | 5.1 trở xuống | Nhiều trang |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Lỗ hổng thực thi mã từ xa trong libutils
Các lỗ hổng trong libutils, một thư viện chung, tồn tại trong quá trình xử lý tệp âm thanh. Trong quá trình xử lý một tệp được tạo đặc biệt, những lỗ hổng này có thể cho phép kẻ tấn công gây hỏng bộ nhớ và thực thi mã từ xa trong một dịch vụ sử dụng thư viện này, chẳng hạn như mediaserver.
Chức năng bị ảnh hưởng được cung cấp dưới dạng API ứng dụng và có nhiều ứng dụng cho phép truy cập vào chức năng này bằng nội dung từ xa, đáng chú ý nhất là MMS và phát nội dung đa phương tiện trên trình duyệt. Vấn đề này được đánh giá là có mức độ nghiêm trọng là Critical (Cực kỳ nghiêm trọng) do có khả năng thực thi mã từ xa trong một dịch vụ đặc quyền. Thành phần bị ảnh hưởng có quyền truy cập vào luồng âm thanh và video cũng như quyền truy cập vào các đặc quyền mà các ứng dụng bên thứ ba thường không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Quan trọng | 5.1 trở xuống | Ngày 15 tháng 8 năm 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | Quan trọng | 5.1 trở xuống | Ngày 15 tháng 8 năm 2015 |
Lỗ hổng thực thi mã từ xa trong Skia
Lỗ hổng trong thành phần Skia có thể được tận dụng khi xử lý một tệp phương tiện được tạo thủ công, điều này có thể dẫn đến hỏng bộ nhớ và thực thi mã từ xa trong một quy trình đặc quyền. Vấn đề này được đánh giá là có mức độ nghiêm trọng là Critical (Cực kỳ nghiêm trọng) do có khả năng thực thi mã từ xa thông qua nhiều phương thức tấn công như email, duyệt web và MMS khi xử lý tệp phương tiện.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Quan trọng | 5.1 trở xuống | Ngày 30 tháng 7 năm 2015 |
Lỗ hổng thực thi mã từ xa trong libFLAC
Có một lỗ hổng trong libFLAC trong quá trình xử lý tệp phương tiện. Những lỗ hổng này có thể cho phép kẻ tấn công, trong quá trình xử lý một tệp được tạo đặc biệt, gây ra hỏng bộ nhớ và thực thi mã từ xa.
Chức năng bị ảnh hưởng được cung cấp dưới dạng API ứng dụng và có nhiều ứng dụng cho phép truy cập vào chức năng này bằng nội dung từ xa, chẳng hạn như phát nội dung nghe nhìn trên trình duyệt. Vấn đề này được đánh giá là có mức độ nghiêm trọng là Critical (Nguy hiểm) do khả năng thực thi mã từ xa trong một dịch vụ đặc quyền. Thành phần bị ảnh hưởng có quyền truy cập vào luồng âm thanh và video cũng như quyền truy cập vào các đặc quyền mà các ứng dụng bên thứ ba thường không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Quan trọng | 5.1 trở xuống | Ngày 14 tháng 11 năm 2014 |
Lỗ hổng nâng cao đặc quyền trong KeyStore
Một ứng dụng độc hại có thể tận dụng lỗ hổng nâng cao đặc quyền trong thành phần KeyStore khi gọi vào các API KeyStore. Ứng dụng này có thể gây hỏng bộ nhớ và thực thi mã tuỳ ý trong ngữ cảnh của KeyStore. Vấn đề này được đánh giá là có mức độ nghiêm trọng cao vì có thể được dùng để truy cập vào các đặc quyền mà ứng dụng bên thứ ba không thể truy cập trực tiếp.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Cao | 5.1 trở xuống | Ngày 28 tháng 7 năm 2015 |
Lỗ hổng nâng cao đặc quyền trong Khung trình phát nội dung đa phương tiện
Lỗ hổng nâng cao đặc quyền trong thành phần khung trình phát nội dung nghe nhìn có thể cho phép một ứng dụng độc hại thực thi mã tuỳ ý trong ngữ cảnh của mediaserver. Vấn đề này được đánh giá là có mức độ nghiêm trọng cao vì cho phép một ứng dụng độc hại truy cập vào các đặc quyền mà ứng dụng bên thứ ba không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Cao | 5.1 trở xuống | Ngày 14 tháng 8 năm 2015 |
* Thay đổi thứ hai cho vấn đề này không có trong AOSP. Bản cập nhật này có trong các trình điều khiển tệp nhị phân mới nhất cho thiết bị Nexus có trên trang web dành cho nhà phát triển của Google.
Lỗ hổng nâng cao đặc quyền trong Android Runtime
Lỗ hổng nâng cao đặc quyền trong Android Runtime có thể cho phép một ứng dụng độc hại cục bộ thực thi mã tuỳ ý trong ngữ cảnh của một ứng dụng hệ thống được nâng cao. Vấn đề này được đánh giá là có mức độ nghiêm trọng cao vì có thể được dùng để tăng cường các chức năng, chẳng hạn như các đặc quyền về quyền Chữ ký hoặc Chữ ký hoặc hệ thống mà ứng dụng bên thứ ba không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Cao | 5.1 trở xuống | Ngày 8 tháng 8 năm 2015 |
Lỗ hổng nâng cao đặc quyền trong Mediaserver
Có nhiều lỗ hổng trong mediaserver có thể cho phép một ứng dụng độc hại cục bộ thực thi mã tuỳ ý trong ngữ cảnh của một dịch vụ gốc đặc quyền. Vấn đề này được đánh giá là có mức độ nghiêm trọng cao vì có thể được dùng để truy cập vào các đặc quyền mà ứng dụng bên thứ ba không thể truy cập trực tiếp.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Cao | 5.1 trở xuống | Nhiều trang |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Cao | 5.0 – 6.0 | Nội Bộ Google |
* Bản vá cho vấn đề này không có trong AOSP. Bản cập nhật này có trong các trình điều khiển tệp nhị phân mới nhất cho thiết bị Nexus có trên trang web dành cho nhà phát triển của Google.
Lỗ hổng nâng cao đặc quyền trong Bộ đánh giá phần tử bảo mật
Một lỗ hổng trong trình bổ trợ SEEK (Bộ đánh giá phần tử bảo mật, còn gọi là API Thẻ thông minh) có thể cho phép một ứng dụng có được các quyền nâng cao mà không cần yêu cầu. Vấn đề này được đánh giá là có mức độ nghiêm trọng cao vì có thể được dùng để tăng cường các chức năng, chẳng hạn như đặc quyền quyền Chữ ký hoặc Chữ ký hoặc hệ thống mà các ứng dụng bên thứ ba không thể truy cập.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Cao | 5.1 trở xuống | Ngày 30 tháng 6 năm 2015 |
* Bản nâng cấp giải quyết vấn đề này nằm trên trang web SEEK for Android.
Lỗ hổng nâng cao đặc quyền trong tính năng Chiếu nội dung nghe nhìn
Một lỗ hổng trong thành phần Media Projection có thể cho phép tiết lộ dữ liệu người dùng dưới dạng ảnh chụp nhanh màn hình. Vấn đề này là do hệ điều hành cho phép tên ứng dụng quá dài. Việc một ứng dụng độc hại trên thiết bị sử dụng những tên dài này có thể khiến người dùng không nhìn thấy cảnh báo về tính năng quay màn hình. Vấn đề này được đánh giá là có mức độ nghiêm trọng Trung bình vì có thể được dùng để giành quyền nâng cao một cách không chính đáng.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Trung bình | 5.0 – 6.0 | Ngày 18 tháng 8 năm 2015 |
Lỗ hổng nâng cao đặc quyền trong Bluetooth
Một lỗ hổng trong thành phần Bluetooth của Android có thể cho phép một ứng dụng xóa tin nhắn SMS đã lưu trữ. Vấn đề này được đánh giá là có mức độ nghiêm trọng Trung bình vì có thể được dùng để giành quyền nâng cao một cách không chính đáng.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Trung bình | 5.1 trở xuống | Ngày 8 tháng 7 năm 2015 |
Lỗ hổng nâng cao đặc quyền trong SQLite
Phát hiện nhiều lỗ hổng trong công cụ phân tích cú pháp SQLite. Các lỗ hổng này có thể bị một ứng dụng cục bộ khai thác, khiến một ứng dụng hoặc dịch vụ khác thực thi các truy vấn SQL tuỳ ý. Việc khai thác thành công có thể dẫn đến việc thực thi mã tuỳ ý trong ngữ cảnh của ứng dụng mục tiêu.
Bản sửa lỗi đã được tải lên AOSP chính vào ngày 8 tháng 4 năm 2015, nâng cấp phiên bản SQLite lên 3.8.9: https://android-review.googlesource.com/#/c/145961/
Bản tin này chứa các bản vá cho các phiên bản SQLite trong Android 4.4 (SQLite 3.7.11) và Android 5.0 và 5.1 (SQLite 3.8.6).
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Trung bình | 5.1 trở xuống | Ngày 7 tháng 4 năm 2015 Đã công bố |
Lỗ hổng từ chối dịch vụ trong Mediaserver
Có nhiều lỗ hổng trong mediaserver có thể gây ra tình trạng từ chối dịch vụ bằng cách làm hỏng quy trình mediaserver. Những vấn đề này được đánh giá là có mức độ nghiêm trọng thấp vì hiệu ứng này xảy ra do sự cố máy chủ nội dung nghe nhìn, dẫn đến việc từ chối tạm thời dịch vụ cục bộ.
| CVE | (Các) lỗi liên quan đến đường liên kết AOSP | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng | Ngày báo cáo |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Thấp | 5.1 trở xuống | Nội Bộ Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Thấp | 5.0 – 6.0 | Nội Bộ Google | |
| CVE-2015-3862 | ANDROID-22954006 | Thấp | 5.1 trở xuống | Ngày 2 tháng 8 năm 2015 |
Bản sửa đổi
- Ngày 5 tháng 10 năm 2015: Thông báo được xuất bản.
- Ngày 7 tháng 10 năm 2015: Bản tin được cập nhật với các tài liệu tham khảo AOSP. Làm rõ các tài liệu tham khảo lỗi cho CVE-2014-9028.
- Ngày 12 tháng 10 năm 2015: Cập nhật thông tin xác nhận cho CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- Ngày 22 tháng 1 năm 2016: Cập nhật nội dung xác nhận cho CVE-2015-6606.
- Ngày 28 tháng 4 năm 2016: Thêm CVE-2015-6603 và sửa lỗi chính tả với CVE-2014-9028.