Ces informations sont destinées aux développeurs d'applications utilisant une version de la bibliothèque Libjepg-turbo antérieure à la version 1.4.2. Nous pouvons considérer que les applications qui présentent des failles de ce type risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant.
Veuillez mettre à jour vos applications pour qu'elles utilisent libjpeg-turbo v1.4.2 ou version ultérieure dès que possible, et modifier en conséquence le numéro de version du fichier APK mis à jour. À partir du 17 septembre 2016, la publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions de libjpeg-turbo antérieures à la version 4.2 sera bloquée. La version publiée de votre application ne sera pas affectée, mais toutes les mises à jour de l'application seront bloquées tant que vous n'aurez pas résolu cette faille.
Étapes suivantes
- Téléchargez la dernière version de libjpeg-turbo.
- Connectez-vous à votre Developer Console et envoyez la version mise à jour de votre application.
- Vérifiez au bout de cinq heures. Si la mise à jour n'a pas été effectuée correctement, un avertissement s'affiche. Notez que certains retards de traitement sont fréquents, même si la faille a été corrigée dans votre application.
Si vous avez recours à une bibliothèque tierce qui inclut libjpeg_turbo, vous devrez la mettre à jour pour utiliser une version qui inclut libjpeg-turbo v1.4.2 ou version ultérieure.
La faille se trouve dans le codage de Huffman intégré au décompresseur libjpeg-turbo. Un pirate informatique peut exploiter cette faille en créant une fausse image JPEG ayant des blocs Huffman dont la taille est supérieure à 430 octets. Ce fichier entraînera un dépassement de tampon d'entrée, et le pirate pourra accéder à la pile de mémoire du programme à l'origine de l'appel.
Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Sachez qu'il ne convient pas de poser des questions relatives aux règles de Google Play sur Stack Overflow.
Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent libjpeg-turbo, nous vous recommandons de vous tenir informé des correctifs de sécurité. Les applications doivent également respecter le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu. Si vous pensez que nous vous avons envoyé cet avertissement par erreur, contactez notre équipe d'assistance spécialiste des règles via le Centre d'aide Google Play pour les développeurs.