วิธีแก้ไขแอปที่มีช่องโหว่จากไลบรารี Portable SDK for UPnP

ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่ใช้ Portable SDK for UPnP Devices หรือที่เรียกว่า libupnp เวอร์ชันก่อน 1.6.18 libupnp เป็นไลบรารีที่ใช้เล่นไฟล์สื่อหรือเชื่อมต่อกับอุปกรณ์อื่นๆ ภายในเครือข่ายของผู้ใช้ โปรดย้ายข้อมูลแอปไปใช้ libupnp v1.6.18 ขึ้นไปโดยเร็วที่สุด และเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรด

สิ่งที่เกิดขึ้น

ตั้งแต่วันที่ 9 พฤษภาคม 2016 Google Play ได้เริ่มบล็อกการเผยแพร่แอปใหม่ๆ หรืออัปเดตที่ใช้ libupnp เวอร์ชันก่อน 1.6.18 โปรดดูประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่ได้รับการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console

ต้องดำเนินการ​

1. ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
2. อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
3. ส่งเวอร์ชันที่อัปเดตของแอปที่ได้รับผลกระทบ

แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว แสดงว่าคุณไม่ต้องดำเนินการใดๆ เพิ่มเติมแล้ว หากแอปไม่ผ่านการตรวจสอบ แอปเวอร์ชันใหม่จะไม่ได้รับการเผยแพร่และคุณจะได้รับการแจ้งเตือนทางอีเมล

รายละเอียดเพิ่มเติม

ช่องโหว่นี้ได้รับการแก้ไขแล้วใน libupnp 1.6.18 คุณสามารถดาวน์โหลด libupnp SDK เวอร์ชันล่าสุดได้จากเว็บไซต์ libupnp หากต้องการความช่วยเหลือในการอัปเกรด โปรดดูหน้าการสนับสนุนของ libupnp หากคุณใช้ไลบรารีของบุคคลที่สามที่รวม libupnp ไว้ด้วย คุณจะต้องอัปเกรดไปใช้เวอร์ชันที่รวม libupnp เวอร์ชัน 1.6.18 ขึ้นไป

lipupnp เวอร์ชันที่ได้รับผลกระทบมีช่องโหว่จากการเขียนไปยังสแตกเกินขอบเขตที่กำหนด (stack buffer overflow) ซึ่งอาจทำให้ผู้โจมตีเรียกใช้โค้ดที่กำหนดเองได้ในอุปกรณ์ที่ได้รับผลกระทบ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดูบล็อกโพสต์ของ TrendMicro หากมีคำถามอื่นๆ ทางเทคนิค คุณสามารถโพสต์ไว้ที่ Stack Overflow และใช้แท็ก “android-security” และ “libupnp”

แม้ว่าปัญหาเฉพาะเหล่านี้อาจไม่ได้ส่งผลกระทบกับแอปที่ใช้ libupnp ทุกๆ แอป แต่คุณควรอัปเดตด้วยแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ แอปที่มีช่องโหว่ซึ่งทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีอาจได้รับการพิจารณาว่าเป็นผลิตภัณฑ์อันตรายที่ละเมิดนโยบายเนื้อหาและส่วน 4.4 ของข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์

นอกจากนี้ แอปต้องเป็นไปตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา 

เราพร้อมช่วยเหลือคุณ

หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์