Disse oplysninger er beregnet til udviklere af apps, der benytter versioner af Apache Cordova, der er ældre end 4.1.1. Disse versioner indeholder sikkerhedsbrister og er i strid med bestemmelsen Farlige produkter i indholdspolitikken og afsnit 4.4 i distributionsaftalen for udviklere.
Migrer hurtigst muligt dine apps til Apache Cordova v.4.1.1 eller nyere, og hæv versionsnummeret på den opgraderede APK-fil. Hvis du bruger en tredjepartssamling, der omfatter Apache Cordova, bedes du underrette tredjeparten og samarbejde med denne om at løse problemet.
Hvad sker der?
Fra og med den 11. juli 2016 begyndte Google Play at blokere udgivelsen af nye apps og opdateringer, der anvender ældre versioner af Apache Cordova end 4.1.1. Få flere oplysninger ved at gå til meddelelsen i Play Console. Efter de tidsfrister, der vises i Play Console, kan alle apps med sikkerhedsbrister, som ikke er rettet, blive fjernet fra Google Play.
Påkrævet handling
- Log ind på Play Console, og gå til afsnittet Underretninger for at se, hvilke apps der er berørt, og tidsfristerne for at løse disse problemer.
- Opdater dine berørte apps, og ret sikkerhedsbristen.
- Indsend de opdaterede versioner af de berørte apps.
Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.
Yderligere oplysninger
- CVE-2015-5256: Gælder for ældre versioner af Apache Cordova end 4.1.1. Disse versioner er sårbare over for ukorrekt anvendelse af hvidlistebegrænsninger i Android. Dette resulterer i en sikkerhedsbrist, hvor hvidlistebegrænsninger ikke anvendes korrekt. URI'er, som er udformet forkert, kan bruges til at omgå hvidlisten, hvilket giver mulighed for at udføre JavaScript, der ikke er hvidlistet.
- CVE-2015-1835: Gælder for ældre versioner af Apache Cordova end 4.0.2. Disse versioner er sårbare over for ekstern udnyttelse af sekundære konfigurationsvariabler i Apache Cordova i Android. Berørte apps, der ikke har eksplicitte angivne værdier i Config.xml kan have udefinerede konfigurationsvariabler, som er angivet af Intent. Dette kan medføre, at uønskede dialogbokse optræder i apps, og kan resultere i ændringer af appadfærd, f.eks. i form af tvungen lukning af appen.
- CVE-2014-3502: Gælder for ældre versioner af Apache Cordova end 3.5.1. Disse versioner omfatter en stor sårbarhed over for scripting på tværs af applikationer (XAS). Under visse omstændigheder kan sårbare apps udnyttes via fjernadgang til at stjæle følsomme oplysninger, som f.eks. brugernes loginoplysninger.
Opgradering og tekniske spørgsmål
Du kan få hjælp ved at gå til websitet for Apache Cordova. Hvis du har andre tekniske spørgsmål vedrørende Apache Cordova, kan du skrive dem i et indlæg på https://www.stackoverflow.com/questions og bruge taggene "android-security" og "cordova".
Bemærk! Selvom disse problemer måske ikke påvirker alle de apps, der anvender ældre versioner af Apache Cordova end 4.1.1, er det en god idé at opdatere med alle sikkerhedsrettelser. Sørg for at opdatere apps, der indeholder forældede afhængige samlinger eller sikkerhedsbrister.
Inden du udgiver apps, bør du sikre, at de overholder distributionsaftalen for udviklere og indholdspolitikken.
Vi er klar til at hjælpe dig
Hvis du har tekniske spørgsmål vedrørende sikkerhedsbristen, kan du skrive et indlæg på Stack Overflow og bruge tagget "android-security". Hvis du har spørgsmål til den vejledning, du skal følge for at løse problemet, kan du kontakte vores supportteam til udviklere.