Cette information est destinée aux développeurs d'applications qui utilisent une version d'Apache Cordova antérieure à la version 4.1.1. Ces versions contiennent des failles de sécurité et ne respectent pas la clause Produits dangereux du règlement relatif au contenu ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).
Veuillez mettre à jour vos applications pour qu'elles utilisent Apache Cordova 4.1.1 ou version ultérieure dès que possible, et modifier en conséquence le numéro de version du fichier APK mis à jour. Si vous utilisez une bibliothèque tierce qui inclut Apache Cordova, veuillez en informer votre fournisseur de services pour que vous puissiez trouver une solution ensemble.
Que se passe-t-il ?
Depuis le 11 juillet 2016, la publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions d'Apache Cordova antérieures à 4.1.1 est bloquée. Veuillez consulter la notification dans la console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
- CVE-2015-5256 : applicable aux versions d'Apache Cordova antérieures à 4.1.1. Ces versions sont plus susceptibles de faire l'objet d'une application incorrecte des restrictions de liste blanche sur Android. Des URI malveillants pourraient être utilisés pour contourner la liste blanche, permettant ainsi l'exécution de contenu JavaScript ne figurant pas sur la liste blanche.
- CVE-2015-1835 : applicable aux versions d'Apache Cordova antérieures à 4.0.2. Ces versions sont plus susceptibles de faire l'objet d'exploits à distance des variables de configuration secondaire dans Apache Cordova sur Android. Les applications concernées pour lesquelles aucune valeur explicite n'a été définie dans Config.xml peuvent voir ces variables de configuration définies par Intent. Cela peut provoquer l'affichage de boîtes de dialogue indésirables dans les applications et des modifications du comportement des applications pouvant inclure leur fermeture intempestive.
- CVE-2014-3502 : applicable aux versions d'Apache Cordova antérieures à 3.5.1. Les failles de sécurité incluent une faille grave de script multi-applications (XAS). Dans certaines circonstances, les applications concernées risquent d'être utilisées pour dérober des informations sensibles à distance, telles que les identifiants d'un utilisateur.
Questions techniques et relatives à la mise à jour
Pour obtenir de l'aide concernant la mise à jour, consultez le site Web d'Apache Cordova. Si vous avez d'autres questions techniques sur Apache Cordova, veuillez publier un message sur le site https://www.stackoverflow.com/questions en utilisant les tags "android-security" et "cordova".
Remarque : Même si ces problèmes n'affectent pas nécessairement toutes les applications qui utilisent des versions d'Apache Cordova antérieures à 4.1.1, nous vous recommandons de vous tenir informé des correctifs de sécurité. Prenez le temps de mettre à jour les applications dont les bibliothèques sont obsolètes ou qui présentent d'autres failles.
Avant de publier des applications, assurez-vous qu'elles respectent le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.