Ове информације су намењене програмерима апликација које користе било коју верзију платформе Apache Cordova старију од верзије 4.1.1. Те верзије сaдрже безбедносне пропусте и крше одредбу Опасни производи у Смерницама за садржај и одељак 4.4 Уговора о дистрибуцији за програмере.
Што пре пренесите апликације на верзију 4.1.1 платформе Apache Cordova и повећајте број верзије надограђеног APK-а. Ако користите библиотеку треће стране која обухвата платформу Apache Cordova, обавестите трећу страну и сарађујте на решавању овог проблема.
Шта се дешава
Од 11. јула 2016. Google Play је почео да блокира објављивање свих нових апликација или ажурирања која користе верзију платформе Apache Cordova која је старија од верзије 4.1.1. Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Ажурирајте апликације на које се ово односи и исправите пропусте.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.
Додатне информације
- CVE-2015-5256; односи се на верзије платформе Apache Cordova старије од верзије 4.1.1. Ове верзије садрже пропусте у вези са неправилном применом ограничења беле листе на Android-у. То доводи до пропуста у ком се ограничења беле листе не примењују правилно. Неправилно направљени URI-ји могу да се користе за заобилажење беле листе, што омогућава извршавање JavaScript-а који се не налази на белој листи.
- CVE-2015-1835; односи се на верзије платформе Apache Cordova старије од верзије 4.0.2. Ове верзије имају пропуст који омогућава даљинску злоупотребу секундарних променљивих за конфигурацију на платформи Apache Cordova на Android-у. Угрожене апликације за које нису подешене експлицитне вредности у датотеци Config.xml могу да имају недефинисане променљиве за конфигурацију које је подесио Intent. Ово може да доведе до приказивања нежељених дијалога у апликацијама и промена у понашању апликација које могу да обухватају принудно затварање апликација.
- CVE-2014-3502; односи се на верзије платформе Apache Cordova старије од верзије 3.5.1. Пропусти обухватају веома озбиљан пропуст који се састоји од извршавања скрипти у више апликација (XAS). У одређеним околностима подложне апликације могу даљински да се искористе за крађу осетљивих информација, попут корисничких акредитива за пријављивање.
Надоградња и техничка питања
Да бисте пронашли помоћ за надоградњу, посетите веб-сајт платформе Apache Cordova. Ако имате других техничких питања у вези са платформом Apache Cordova, поставите их на https://www.stackoverflow.com/questions помоћу ознака „android-security“ и „cordova“.
Напомена: Иако ови проблеми неће утицати на све апликације које користе верзије платформе Apache Cordova старије од верзије 4.1.1, најбоље је да благовремено примењујете све безбедносне закрпе. Издвојите време да бисте ажурирали апликације које имају застареле зависне библиотеке или друге пропусте.
Пре него што објавите апликације, уверите се да су у складу са Уговором о дистрибуцији за програмере и Смерницама за садржај.
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, можете да контактирате тим подршке за програмере.