Αυτές οι πληροφορίες αφορούν προγραμματιστές εφαρμογών που χρησιμοποιούν οποιαδήποτε έκδοση του Apache Cordova προγενέστερη της 4.1.1. Αυτές οι εκδόσεις περιέχουν ευπάθειες ασφάλειας και παραβιάζουν την προδιαγραφή περί Επικίνδυνων προϊόντων της Πολιτικής περιεχομένου και την ενότητα 4.4 του Συμφωνητικού διανομής για προγραμματιστές.
Μετεγκαταστήστε τις εφαρμογές σας στην έκδοση Apache Cordova 4.1.1 ή μεταγενέστερη, όσο το δυνατό συντομότερα και αυξήστε τον αριθμό έκδοσης του αναβαθμισμένου APK. Εάν χρησιμοποιείτε βιβλιοθήκη άλλου προμηθευτή που περιλαμβάνει το Apache Cordova, ειδοποιήστε τον προμηθευτή και συνεργαστείτε μαζί του για να λύσετε το πρόβλημα.
Τι συμβαίνει
Από τις 11 Ιουλίου 2016, το Google Play ξεκίνησε να αποκλείει τη δημοσίευση νέων εφαρμογών και ενημερώσεων που χρησιμοποιούν εκδόσεις του Apache Cordova προγενέστερες της έκδοσης 4.1.1. Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές που περιέχουν ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί, ενδέχεται να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πρόσθετα στοιχεία
- CVE-2015-5256: Ισχύει για εκδόσεις του Apache Cordova προγενέστερες της έκδοσης 4.1.1. Αυτές οι εκδόσεις είναι ευάλωτες στην ακατάλληλη εφαρμογή των περιορισμών λίστας επιτρεπόμενων στο Android. Αυτό προκαλεί μια ευπάθεια, εξαιτίας της οποία οι περιορισμοί λίστας επιτρεπόμενων δεν εφαρμόζονται σωστά. Τα URI που δεν έχουν δημιουργηθεί σωστά μπορούν να χρησιμοποιηθούν για την παράκαμψη της λίστας επιτρεπόμενων, επιτρέποντας την εκτέλεση Javascript που δεν περιλαμβάνεται στη λίστα επιτρεπόμενων.
- CVE-2015-1835: Ισχύει για εκδόσεις του Apache Cordova προγενέστερες της έκδοσης 4.0.2. Αυτές οι εκδόσεις είναι ευάλωτες στην απομακρυσμένη αξιοποίηση δευτερευουσών μεταβλητών διαμόρφωσης στο Apache Cordova στο Android. Οι επηρεαζόμενες εφαρμογές που δεν έχουν καθορισμένες ρητές τιμές στο Config.xml μπορεί να φέρουν μη προσδιορισμένες μεταβλητές διαμόρφωσης οι οποίες έχουν οριστεί από το Intent. Αυτό μπορεί να προκαλέσει την εμφάνιση ανεπιθύμητων παραθύρων διαλόγου σε εφαρμογές, και αλλαγές στη συμπεριφορά της εφαρμογής, οι οποίες μπορεί να περιλαμβάνουν τον αναγκαστικό τερματισμό της εφαρμογής.
- CVE-2014-3502: Ισχύει για εκδόσεις του Apache Cordova προγενέστερες της έκδοσης 3.5.1. Στις ευπάθειες περιλαμβάνεται μια ευπάθεια υψηλής σοβαρότητας δέσμης ενεργειών σε διαφορετικές εφαρμογές (XAS). Υπό ορισμένες συνθήκες, θα μπορούσε να γίνει απομακρυσμένη εκμετάλλευση των ευάλωτων εφαρμογών για την υποκλοπή ευαίσθητων στοιχείων, όπως των διαπιστευτηρίων σύνδεσης ενός χρήστη.
Αναβάθμιση και ερωτήσεις για τεχνικά θέματα
Για βοήθεια σχετικά με την αναβάθμιση, ανατρέξτε στον ιστότοπο του Apache Cordova. Εάν έχετε άλλες ερωτήσεις για τεχνικά θέματα σχετικά με το Apache Cordova, δημοσιεύστε αναρτήσεις στη διεύθυνση https://www.stackoverflow.com/questions και χρησιμοποιήστε τις ετικέτες "android-security" και "cordova".
Σημείωση: Παρόλο που ενδέχεται αυτά τα ζητήματα να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί εκδόσεις του Apache Cordova προγενέστερες της έκδοσης 4.1.1, είναι καλύτερο να χρησιμοποιείτε τις ενημερωμένες εκδόσεις όλων των ενημερώσεων κώδικα ασφαλείας. Αφιερώστε λίγο χρόνο για την ενημέρωση εφαρμογών που έχουν μη ενημερωμένες, εξαρτημένες βιβλιοθήκες ή άλλες ευπάθειες.
Πριν δημοσιεύσετε εφαρμογές, βεβαιωθείτε ότι συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και την Πολιτική περιεχομένου.
Είμαστε εδώ για να σας βοηθήσουμε
Αν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα “android-security”. Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.