هذه المعلومات مخصصة لمطوري التطبيقات الذين يستخدمون أي إصدار من Apache Cordova يسبق الإصدار 4.1.1. وتحتوي هذه الإصدارات على ثغرات أمنية وتمثل انتهاكًا لشرط المنتجات الخطيرة في سياسة المحتوى والبند 4.4 من اتفاقية توزيع مطوّري البرامج.
يرجى نقل تطبيقاتك إلى إصدار Apache Cordova v.4.1.1 أو إصدار أحدث في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها. وإذا كنت تستخدم مكتبة من جهة خارجية تتضمن Apache Cordova، يُرجى إبلاغ الجهة الخارجية والتعاون معها للتعامل مع المشكلة.
تحليل المشكلة
ابتداءً من 11 تموز (يوليو) 2016، حظر Google Play نشر أي من التطبيقات أو التحديثات الجديدة التي تستخدم الإصدارات التي تسبق إصدار 4.1.1 من Apache Cordova. ويرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد يتم حذف أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.
الإجراء المطلوب
- سجِّل الدخول إلى حسابك على Play Console، وانتقل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة والمواعيد النهائية لحل هذه المشاكل.
- حدِّث تطبيقاتك المتأثرة وأصلِح الثغرات الأمنية.
- أرسِل النسخ المُحدّثة من تطبيقاتك المتأثرة.
وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. إذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لا يلزم اتخاذ أي إجراء آخر. وإذا أخفق التطبيق في اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا بالبريد الإلكتروني.
تفاصيل إضافية
- CVE-2015-5256؛ تُستخدم على الإصدارات السابقة على 4.1.1 من Apache Cordova. فهذه الإصدارات معرضة للاستخدام غير المناسب لقيود القائمة البيضاء على Android. وهذا يؤدي إلى وجود ثغرة أمنية حيث يتم استخدام قيود القائمة البيضاء استخدامًا غير مناسب. ويمكن استخدام معرفات الموارد المنتظمة التي تم تصميمها بشكل غير مناسب للتحايل على القائمة البيضاء، ما يسمح بتنفيذ شفرة جافا سكريبت ليست ضمن القائمة البيضاء.
- CVE-2015-1835؛ تُستخدم مع الإصدارات التي تسبق إصدار 4.0.2 من Apache Cordova. فهذه الإصدارات معرضة للاختراق عن بُعد بواسطة متغيرات التهيئة الثانوية في Apache Cordova على Android. ويمكن أن تشتمل التطبيقات المتأثرة التي لا تحتوي على قيم صريحة معينة في Config.xml على متغيرات تهيئة غير محددة تم تعيينها بواسطة Intent. ويمكن أن يؤدي هذا إلى ظهور مربعات حوار غير مرغوب فيها في التطبيقات فضلاً عن حدوث تغييرات في سلوك التطبيق والتي يمكن أن تشمل فرض إغلاق التطبيق.
- CVE-2014-3502؛ تُستخدم مع الإصدارات التي تسبق الإصدار 3.5.1 من Apache Cordova. وتشمل الثغرات ثغرة أمنية خطيرة جدًا في البرمجة النصية على مستوى التطبيق (XAS). في ظل ظروف معينة، يمكن اختراق التطبيقات المتأثرة عن بُعد بغرض سرقة معلومات حساسة، مثل بيانات اعتماد تسجيل دخول المستخدمين.
الترقية والأسئلة الفنية
للحصول على مساعدة بشأن الترقية، يرجى مراجعة موقع Apache Cordova الإلكتروني. إذا كان لديك أسئلة فنية حول Apache Cordova، يرجى النشر على https://www.stackoverflow.com/questions واستخدام العلامتين "android-security" و"cordova".
ملاحظة: يرجى العلم أنه من الأفضل أن تكون على اطلاع دائم على جميع تصحيحات الأمان، بالرغم من أن هذه المشكلات ربما لا تؤثر في كل تطبيق يستخدم Apache Cordova. يرجى تخصيص بعض الوقت لتحديث التطبيقات التي تشتمل على مكتبات تابعة قديمة أو ثغرات أمنية أخرى.
قبل نشر التطبيقات، يرجى التأكد من أنها متوافقة مع اتفاقية توزيع مطوّري البرامج وسياسة المحتوى.
تسرّنا مساعدتك
إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.