Android Platformの URLConnection クラスにHTTP ヘッダインジェクションの脆弱性が確認された。影響を受けるのはAndroid 2.2 から 6.0に含まれるURLConnection クラスで、Android 2.2以前も影響を受ける可能性がある。この脆弱性が空くようされると、アプリによって異なるが、表示されるページの改ざんや任意のスクリプト実行、クッキーへの任意の値設定をされる恐れがある。解決策として、Android Platform の URLConnection クラスは、Android 4.4.2で使用されているオープンソースの OkHttpのバージョンを2.5.0にすることでこの脆弱性は解消される。なお、OkHttp 2.5.0以前には HTTP ヘッダインジェクションの脆弱性が含まれているため使用しないよう注意が必要となる。
