Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurām tiek izmantota jebkura Apache Cordova versija, kas ir vecāka par 4.1.1. Šajās versijās ir konstatētas drošības ievainojamības, un ar tām tiek pārkāpti satura politikas noteikumi par bīstamiem produktiem un izstrādātāja izplatīšanas līguma 4.4. sadaļa.
Lūdzu, pēc iespējas drīzāk migrējiet savu(-as) lietotni(-es) uz Apache Cordova versiju v.4.1.1 vai jaunāku versiju un palieliniet jauninātā APK versijas numuru. Ja izmantojat trešās puses bibliotēku, kurā ir ietverta programmatūra Apache Cordova, lūdzu, brīdiniet attiecīgo trešo pusi un palīdziet tai novērst šo problēmu.
Problēma
Sākot no 2016. gada 11. jūlija, pakalpojumā Google Play tiek liegta jebkuru jaunu lietotņu vai atjauninājumu publicēšana, kuros tiek izmantota Apache Cordova versija, kas ir vecāka par versiju 4.1.1. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console, kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
- CVE-2015-5256; attiecas uz Apache Cordova versijām, kas ir vecākas par versiju 4.1.1. Šīs versijas nav aizsargātas pret nepareizu balto sarakstu ierobežojumu lietošanu operētājsistēmā Android. Tādējādi netiek pareizi piemēroti baltā saraksta ierobežojumi. Nepareizi izveidotus URI var izmantot, lai apietu balto sarakstu, ļaujot izpildīt baltajā sarakstā neiekļautas JavaScript komandas.
- CVE-2015-1835; attiecas uz Apache Cordova versijām, kas ir vecākas par versiju 4.0.2. Šīs versijas nav aizsargātas pret sekundārās konfigurācijas mainīgo vērtību attālu izmantošanu programmatūrā Apache Cordova, kas darbojas operētājsistēmā Android. Neaizsargātajās lietotnēs, kurām failā Config.xml nav iestatītas konkrētas vērtības, var tikt apzināti iestatītas nedefinētas konfigurācijas vērtības. Tas var izraisīt nevēlamu dialoglodziņu rādīšanu lietotnēs un izmaiņas lietotņu darbībā, kas var ietvert lietotnes piespiedu aizvēršanu.
- CVE-2014-3502; attiecas uz Apache Cordova versijām, kas ir vecākas par versiju 3.5.1. Viena no nepilnībām ir augstas pakāpes starplietojumprogrammu skriptēšanas (XAS) ievainojamība. Noteiktos apstākļos ievainojamās lietotnes var tikt attāli izmantotas, lai nozagtu sensitīvu informāciju, piemēram, lietotāju pieteikšanās akreditācijas datus.
Jaunināšana un tehniskie jautājumi
Lai saņemtu palīdzību par jaunināšanu, lūdzu, skatiet Apache Cordova vietni. Ja jums ir citi tehniski jautājumi par Apache Cordova, publicējiet tos vietnē https://www.stackoverflow.com/questions, izmantojot atzīmes “android-security” un “cordova”.
Piezīme. Lai gan šīs problēmas var neietekmēt visas lietotnes, kurās tiek izmantota Apache Cordova versija, kas ir vecāka par versiju 4.1.1, ieteicams izmantot visus jaunākos drošības ielāpus. Izmantojiet šo periodu, lai atjauninātu lietotnes, kurās ir ietvertas novecojušas atkarīgās bibliotēkas vai pastāv cita veida ievainojamība.
Pirms lietotņu publicēšanas nodrošiniet to atbilstību izstrādātāja izplatīšanas līgumam un satura politikai.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.