Diese Informationen richten sich an Entwickler von Apps, die eine Version der libjpeg-turbo-Bibliothek vor Version 1.4.2 verwenden. Apps mit Sicherheitslücken wie dieser, durch die Nutzer zu Schaden kommen können, werden unter Umständen als Verstoß gegen unsere Richtlinien zu böswilligem Verhalten eingestuft.
Bitte migrieren Sie Ihre App(s) so bald wie möglich auf libjpeg-turbo 1.4.2 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APKs. Google Play wird ab dem 17. September 2016 die Veröffentlichung sämtlicher neuer Apps und Updates blockieren, die niedrigere Versionen als libjpeg-turbo 1.4.2 verwenden. Ihre veröffentlichte App-Version ist davon nicht betroffen. Sollten Sie diese Sicherheitslücke jedoch nicht beheben, werden sämtliche App-Updates blockiert.
Nächste Schritte
- Laden Sie die neueste Version von libjpeg-turbo herunter.
- Melden Sie sich in der Developer Console an und reichen Sie die aktualisierte Version Ihrer App ein.
- Sehen Sie nach fünf Stunden erneut nach – wenn die App nicht korrekt aktualisiert wurde, erhalten Sie eine Warnmeldung. Beachten Sie, dass bei der Verarbeitung Verzögerungen auftreten können, auch wenn die Sicherheitslücke in Ihrer App behoben wurde.
Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die libjpeg_turbo bündelt, müssen Sie ein Upgrade auf eine Version mit libjpeg-turbo 1.4.2 oder höher ausführen.
Die Sicherheitslücke befindet sich im Huffman-Dekodierer, der Teil des libjpeg-turbo-Dekompressors ist. Durch diese Sicherheitslücke kann ein Angreifer unter Umständen ein künstliches JPEG-Bild mit Huffman-Blöcken erstellen, die größer als 430 Bytes sind. Durch eine solche Datei läuft ein Eingabepuffer über und der Angreifer kann Zugriff auf den dynamischen Speichers des aufrufenden Programms erlangen.
Sonstige technische Fragen können Sie auf Stack Overflow posten. Verwenden Sie dabei die Tags "android-security". Bitte beachten Sie, dass Fragen zu Google Play-Richtlinien nicht auf "Stack Overflow" gepostet werden sollten.
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen libjpeg-turbo verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps müssen auch der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen. Wenn Sie der Ansicht sind, dass diese Warnung auf einem Irrtum beruht, wenden Sie sich über die Google Play Developer-Hilfe an unseren Kundenservice.