Die folgenden Informationen sind für Entwickler von Apps vorgesehen, die eine beliebige Version von Apache Cordova vor Versionsnummer 4.1.1 nutzen. Diese Versionen enthalten Sicherheitslücken und verstoßen gegen die Bestimmung Gefährliche Produkte der Inhaltsrichtlinien sowie gegen Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb.
Bitte migrieren Sie Ihre App baldmöglichst zur Apache Cordova-Version 4.1.1 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die Apache Cordova enthält, benachrichtigen Sie bitte den entsprechenden Anbieter, um dieses Problem zu beheben.
Aktuelle Informationen
Google Play blockiert seit dem 11. Juli 2016 die Veröffentlichung sämtlicher neuer Apps und Updates, die niedrigere Versionen als Apache Cordova 4.1.1 verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
- CVE-2015-5256: für alle Apache Cordova-Versionen vor 4.1.1. In diesen Versionen besteht die Gefahr, dass Beschränkungen auf der Grundlage der weißen Liste unter Android nicht ordnungsgemäß angewendet werden. Dies führt zu einer Sicherheitslücke im Hinblick auf die Anwendung solcher Beschränkungen. Zum Beispiel könnte die weiße Liste mithilfe falscher URIs umgangen und so JavaScript ausgeführt werden, das nicht auf die weiße Liste gesetzt wurde.
- CVE-2015-1835: für alle Apache Cordova-Versionen vor 4.0.2. In diesen Versionen kann es unter Android zu Remote-Exploits im Hinblick auf sekundäre Konfigurationsvariablen in Apache Cordova kommen. Betroffene Apps, bei denen keine expliziten Werte in der Datei Config.xml angegeben sind, können durch Intent festgelegte, nicht definierte Konfigurationsvariablen aufweisen. Das kann dazu führen, dass in Apps unerwünschte Fenster geöffnet werden. Auch ein geändertes App-Verhalten bis hin zum erzwungenen Schließen der App ist möglich.
- CVE-2014-3502: für alle Apache Cordova-Versionen vor 3.5.1. Diese weisen unter anderem eine schwerwiegende Sicherheitslücke bezüglich Cross-Application-Scripting (XAS) auf. Unter bestimmten Umständen können betroffene Apps per Remote-Zugriff zum Stehlen vertraulicher Informationen, etwa von Nutzeranmeldedaten, missbraucht werden.
Upgrade und technische Fragen
Hilfe beim Upgrade erhalten Sie auf der Apache Cordova-Website. Sonstige technische Fragen zu Apache Cordova können Sie auf https://www.stackoverflow.com/questions posten. Bitte verwenden Sie dabei die Tags "android-security" und "cordova".
Hinweis: Obwohl sich diese Probleme nicht auf alle Apps auswirken, die niedrigere Versionen als Apache Cordova 4.1.1 verwenden, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Nehmen Sie sich die Zeit, um Apps zu aktualisieren, die über veraltete abhängige Bibliotheken verfügen oder andere Sicherheitslücken aufweisen.
Achten Sie vor dem Veröffentlichen von Apps bitte darauf, dass diese der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.