Thông tin này dành cho nhà phát triển ứng dụng sử dụng bất kỳ phiên bản nào của Apache Cordova trước phiên bản 4.1.1. Các phiên bản này có chứa lỗ hổng bảo mật và vi phạm quy định về Sản phẩm nguy hiểm của Chính sách nội dung cũng như phần 4.4 trong Thỏa thuận phân phối dành cho nhà phát triển.
Vui lòng di chuyển (các) ứng dụng của bạn lên Apache Cordova v.4.1.1 hoặc phiên bản cao hơn sớm nhất có thể và tăng số phiên bản của APK đã nâng cấp. Nếu bạn đang sử dụng thư viện của bên thứ ba bao gồm Apache Cordova, vui lòng thông báo cho bên thứ ba và làm việc với họ để giải quyết sự cố này.
Chuyện gì sẽ xảy ra
Kể từ ngày 11 tháng 7 năm 2016, Google Play đã bắt đầu chặn xuất bản mọi ứng dụng hoặc bản cập nhật mới sử dụng các phiên bản Apache Cordova trước 4.1.1. Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.
Hành động cần thiết
- Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
- Cập nhật các ứng dụng bị ảnh hưởng và khắc phục lỗ hổng.
- Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.
Sau khi bạn gửi lại, chúng tôi sẽ xem xét lại ứng dụng của bạn. Quá trình này có thể mất vài giờ. Nếu ứng dụng vượt qua quy trình xem xét và được xuất bản thành công thì bạn không cần thực hiện thêm hành động nào. Nếu ứng dụng không vượt qua được quy trình xem xét thì phiên bản ứng dụng mới sẽ không được xuất bản và bạn sẽ nhận được thông báo qua email.
Thông tin chi tiết bổ sung
- CVE-2015-5256; áp dụng cho các phiên bản Apache Cordova trước 4.1.1. Các phiên bản này dễ bị tấn công bởi ứng dụng không thích hợp có trong hạn chế danh sách cho phép trên Android. Điều này dẫn đến lỗ hổng trong đó hạn chế danh sách cho phép không được áp dụng đúng cách. URI có định dạng không hợp lệ có thể được sử dụng để tránh danh sách cho phép, cho phép thực thi JavaScript không có trong danh sách cho phép.
- CVE-2015-1835; áp dụng cho các phiên bản Apache Cordova trước 4.0.2. Các phiên bản này dễ bị tấn công bởi hoạt động khai thác từ xa các biến cấu hình phụ trong Apache Cordova trên Android. Các ứng dụng bị ảnh hưởng không được đặt các giá trị rõ ràng trong Config.xml có thể có các biến cấu hình không xác định do Intent đặt. Điều này có thể khiến hộp thoại không mong muốn xuất hiện trong ứng dụng và các thay đổi trong hành vi của ứng dụng, có thể bao gồm ứng dụng buộc phải đóng.
- CVE-2014-3502; áp dụng cho các phiên bản Apache Cordova trước 3.5.1. Các lỗ hổng bao gồm lỗ hổng tập lệnh liên ứng dụng (XAS) có mức độ nghiêm trọng cao. Trong một số trường hợp nhất định, các ứng dụng dễ bị tấn công có thể bị khai thác từ xa nhằm lấy cắp thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập của người dùng.
Nâng cấp và câu hỏi kỹ thuật
Để được trợ giúp khi nâng cấp, vui lòng xem trang web của Apache Cordova. Nếu bạn có câu hỏi kỹ thuật khác về Apache Cordova, vui lòng đăng lên https://www.stackoverflow.com/questions và sử dụng thẻ “android-security” và “cordova”.
Lưu ý: mặc dù các sự cố này có thể không ảnh hưởng đến mọi ứng dụng sử dụng các phiên bản Apache Cordova trước 4.1.1, tốt nhất là bạn nên duy trì cập nhật tất cả bản vá bảo mật. Vui lòng dành thời gian để cập nhật các ứng dụng có thư viện phụ thuộc lỗi thời hoặc các lỗ hổng khác.
Trước khi xuất bản ứng dụng, vui lòng đảm bảo các ứng dụng đó tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung.
Chúng tôi sẵn sàng trợ giúp
Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.