Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa käytetään Apache Cordovan versiota 4.1.1. aiempaa versiota. Kyseiset versiot sisältävät tietoturvahaavoittuvuuksia ja rikkovat sisältökäytännön vaarallisten tuotteiden osiota sekä kehittäjien jakelusopimuksen kohtaa 4.4.
Ota Apache Cordovan versio 4.1.1 tai uudempi käyttöön sovelluksissasi mahdollisimman pian ja anna päivitetylle APK:lle uusi versionumero. Jos käytät Apache Cordovan sisältävää kolmannen osapuolen kirjastoa, ota yhteyttä tähän kolmanteen osapuoleen asian ratkaisemiseksi.
Mistä on kyse?
Google Play alkoi 11.7.2016 estää kaikkien sellaisten sovellusten tai päivitysten julkaisemisen, jotka käyttävät 4.1.1:tä vanhempaa Apache Cordovan versiota. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset poistetaan Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
- CVE-2015-5256: Koskee 4.1.1:tä vanhempia Apache Cordovan versioita. Nämä versiot ovat haavoittuvia vääränlaisille sallittujen listojen rajoituksille Androidilla. Seurauksena on haavoittuvuus, jossa sallittujen listojen rajoituksia ei voi täysin soveltaa. Sallittujen luettelo voidaan kiertää vääränmuotoisella URI:llä, minkä seurauksena JavaScriptiä voi suorittaa, vaikka se ei ole listalla.
- CVE-2015-1835: Koskee 4.0.2:ta vanhempia Apache Cordovan versioita. Nämä versiot ovat haavoittuvia Apache Cordovan Android-version toissijaisten määritysmuuttujien etähyödyntämiselle. Jos vaarantuneen sovelluksen muuttujia ei ole erikseen määritetty Config.xml-tiedostossa, ei tavoite ehkä ole antanut arvoja sen määritysmuuttujille. Tästä saattaa seurata ylimääräisten valintaikkunoiden avautumista sovelluksissa ja muutoksia sovelluskäyttäytymisessä, esimerkiksi pakotettuja sulkeutumisia.
- CVE-2014-3502: Koskee 3.5.1:tä vanhempia Apache Cordovan versioita. Sisältää muun muassa vakavan sovellusten välisten komentosarjojen (XAS) haavoittuvuuden. Haavoittuvien sovellusten kautta on tietyissä olosuhteissa mahdollista varastaa henkilökohtaisia tietoja, kuten kirjautumistietoja.
Päivittäminen ja tekniset kysymykset
Ohjeita päivittämiseen saat Apache Cordovan verkkosivustolta. Muita teknisiä kysymyksiä Apache Cordovasta voit esittää osoitteessa https://www.stackoverflow.com/questions. Merkitse kysymyksesi tageilla android-security ja cordova.
Huom. Ongelmat eivät välttämättä koske kaikkia Apache Cordova 4.1.1:tä vanhempia versioita käyttäviä sovelluksia, mutta suosittelemme silti ottamaan aina käyttöön uusimmat tietosuojakorjaukset. Päivitä nyt sovelluksesi, joissa on vanhentuneita riippuvaisia kirjastoja tai muita haavoittuvuuksia.
Ennen kuin julkaiset sovelluksen, varmista, että se noudattaa kehittäjien jakelusopimusta ja sisältökäytäntöä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.