Ove su informacije namijenjene razvojnim programerima aplikacija koje koriste bilo koju verziju Apache Cordove stariju od verzije 4.1.1. Te verzije sadrže sigurnosne ranjivosti i krše odredbu o opasnim proizvodima Pravila o sadržaju i odjeljak 4.4 Ugovora o distribuciji za razvojne programere.
Prebacite svoje aplikacije na Apache Cordovu 4.1.1 ili noviju verziju što prije i povećajte broj verzije nadograđenog APK-a. Ako upotrebljavate biblioteku treće strane koja uključuje Apache Cordovu, obavijestite treću stranu i zajedno riješite taj problem.
Što se događa
Od 11. srpnja 2016. Google Play blokira objavljivanje svih novih aplikacija ili ažuriranja s verzijama Apache Cordove starijima od verzije 4.1.1. Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli uklonit će se s Google Playa.
Potrebna je radnja
- Prijavite se na Play konzolu i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i popravite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
- CVE-2015-5256; odnosi se na verzije Apache Cordove starije od verzije 4.1.1. Te su verzije osjetljive na nepravilnu primjenu ograničenja popisa dopuštenih entiteta na Androidu. To uzrokuje ranjivost pri kojoj se ograničenja popisa dopuštenih entiteta ne primjenjuju pravilno. Nepravilno izrađeni URI-ji mogu se upotrebljavati za zaobilaženje popisa dopuštenih entiteta, omogućujući izvršavanje JavaScripta koji nije na popisu dopuštenih.
- CVE-2015-1835; odnosi se na verzije Apache Cordove starije od verzije 4.0.2. Te su verzije osjetljive na daljinsko iskorištavanje sekundarnih konfiguracijskih varijabli u Apache Cordovi na Androidu. Namjera može postaviti nedefinirane konfiguracijske varijable za aplikacije za koje u datoteci Config.xml nisu postavljene eksplicitne vrijednosti. To može uzrokovati pojavljivanje neželjenih dijaloških okvira u aplikacijama i promjene u ponašanju aplikacija koje mogu uključivati prisilno zatvaranje aplikacija.
- CVE-2014-3502; odnosi se na verzije Apache Cordove starije od verzije 3.5.1. Ranjivosti uključuju vrlo opasno unakrsno skriptiranje u aplikacijama (XAS). U određenim okolnostima ranjive bi se aplikacije mogle daljinski iskoristiti za krađu osjetljivih podataka, primjerice, korisničkih vjerodajnica za prijavu.
Nadogradnja i tehnička pitanja
Pomoć za nadogradnju potražite na web-lokaciji Apache Cordove. Ostala tehnička pitanja o Apache Cordovi možete objaviti na stranici https://www.stackoverflow.com/questions uz oznake "android-security" i "cordova".
Napomena: iako te poteškoće možda neće utjecati na sve aplikacije koje upotrebljavaju verzije Apache Cordove starije od 4.1.1, najbolje je ažurirati sve sigurnosne zakrpe. Aplikacije koje imaju zastarjele ovisne biblioteke ili druge ranjivosti svakako ažurirajte u zadanom roku.
Prije objavljivanja aplikacija provjerite jesu li u skladu s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.