Die folgenden Informationen richten sich an Entwickler von Apps, die eine beliebige Version der Portable SDK for UPnP Devices-Bibliothek, auch libupnp genannt, vor Version 1.6.18 verwenden. Libupnp ist eine Bibliothek, die zum Abspielen von Mediendateien verwendet wird oder über die innerhalb des Netzwerks eines Nutzers eine Verbindung zu anderen Geräten hergestellt werden kann.Aktualisieren Sie Ihre Apps so bald wie möglich auf libupnp 1.6.18 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK.
Aktuelle Informationen
Google Play blockiert seit dem 9. Mai 2016 die Veröffentlichung sämtlicher neuer Apps und Updates, die niedrigere Versionen als libupnp 1.6.18 verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Die Sicherheitslücke wurde in der libupnp-Version 1.6.18 behoben. Sie können die aktuellen Versionen des libupnp-SDK von der libupnp-Website herunterladen. Hilfe beim Upgrade erhalten Sie auf der libupnp-Supportseite. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die libupnp enthält, müssen Sie ein Upgrade auf eine Version mit libupnp 1.6.18 oder höher ausführen.
Betroffene libupnp-Versionen weisen Sicherheitslücken bezüglich eines stapelbasierten Pufferüberlaufs auf, die es Angreifern unter Umständen ermöglichen, auf einem betroffenen Gerät beliebigen Code auszuführen. Weitere Informationen zu dieser Sicherheitslücke finden Sie in diesem TrendMicro-Blogpost. Sonstige technische Fragen können Sie auf Stack Overflow posten. Bitte verwenden Sie dabei die Tags "android-security" und "libupnp".
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen libupnp verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps mit Sicherheitslücken, durch die Nutzer zu Schaden kommen können, werden unter Umständen als gefährliche Produkte eingestuft, da sie gegen die Inhaltsrichtlinien und gegen Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb verstoßen.
Apps müssen auch der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.