מידע זה נועד למפתחי אפליקציות שמשתמשים בכל גרסה שהיא של ספריית Libjepg-turbo שקודמת לגרסה 1.4.2. אפליקציות המכילות נקודות תורפה כאלה עלולות לחשוף את המשתמשים לסיכון מפני פגיעה ולהיחשב כמפרות את מדיניות ההתנהגות הזדונית.
שדרג את האפליקציות שלך ל-Libjepg-turbo מגרסה 1.4.2 ואילך בהקדם האפשרי וקדם את מספר הגרסה של ה-APK המשודרג. החל מ-17 בספטמבר 2016, Google Play יחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של libjpeg-turbo שקודמות ל-1.4.2. גרסת האפליקציה שפורסמה לא תושפע מכך, אולם עדכונים לאפליקציה ייחסמו אם לא תטפל בנקודת התורפה הזו.
השלבים הבאים
- הורד את הגרסה האחרונה של libjpeg-turbo.
- היכנס אל Developer Console ושלח את הגרסה המעודכנת של האפליקציה.
- בדוק שוב כעבור חמש שעות - תוצג הודעת אזהרה אם האפליקציה לא עודכנה כראוי. שים לב - בדרך כלל יש עיכובים מסוימים הקשורים לעיבוד, גם אם נקודת התורפה תוקנה באפליקציה.
לחלופין, אם אתה משתמש בספרייה של צד שלישי שכוללת את libjpeg_turbo, יהיה עליך לשדרג אותה לגרסה הכוללת את libjpeg_turbo מגרסה 1.4.2 ואילך.
נקודת התורפה נמצאת במפענח Huffman שהוא חלק ממקודד ומפענח הדחיסה של libjpeg-turbo. תוקף עלול לנצל את נקודת התורפה הזו על ידי יצירת תמונה JPEG מלאכותית עם בלוקים של Huffman הגדולים מ-430 בייטים. קובץ כזה יגרום להצפה של מאגר הקלט והתוקף עלול להשיג גישה אל ערימת הזיכרון של התוכנה שקראה לזיכרון זה.
לשאלות טכניות אחרות, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג 'android-security'. שים לב - אין לפרסם שאלות בנוגע למדיניות Play באתר Stack Overflow.
אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-libjpeg-turbo, מומלץ להתקין את כל תיקוני האבטחה. האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן. אם אתה סבור ששלחנו לך בטעות אזהרה זו על נקודות תורפה, פנה לצוות התמיכה שלנו בנושא מדיניות דרך מרכז העזרה למפתחים של Google Play.