यह जानकारी उन ऐप्लिकेशन के डेवलपर के लिए है जो लाइब्रेरी Libjepg-turbo के वर्शन 1.4.2 से पहले वाले किसी भी वर्शन का उपयोग कर रहे हैं. इस तरह की भेद्यताओं वाले ऐप्लिकेशन उपयोगकर्ताओं को छेड़छाड़ के जोखिम में डाल सकते हैं और उन्हें हमारी दुर्भावनापूर्ण व्यवहार पॉलिसी का उल्लंघन करने वाला माना जा सकता है.
कृपया अपने ऐप्लिकेशन को यथासंभव शीघ्रता से libjpeg-turbo v1.4.2 या उसके बाद वाले वर्शन में माइग्रेट कर लें और अपग्रेड किए गए APK की वर्शन संख्या में वृद्धि करें. 17 सितंबर 2016 से, Google Play ऐसे किसी भी नए ऐप्लिकेशन या अपडेट का प्रकाशन अवरुद्ध कर देगा जो libjpeg-turbo के 1.4.2 से पुराने वर्शन का उपयोग करता है. आपका प्रकाशित ऐप्लिकेशन वर्शन अप्रभावित रहेगा, हालांकि ऐप्लिकेशन के सभी अपडेट तब तक अवरोधित किए जाएंगे जब तक कि आप इस भेद्यता का समाधान नहीं कर लेते.
अगले चरण
- libjpeg-turbo का नवीनतम वर्शन डाउनलोड करें.
- अपने Developer Console में प्रवेश करें और अपने ऐप्लिकेशन का अपडेट किया गया वर्शन सबमिट करें.
- पांच घंटे बाद वापस देखें - यदि ऐप्लिकेशन सही तरीके से अपडेट नहीं किया गया हो, तो हम एक चेतावनी संदेश दिखाएंगे. ध्यान रखें कि संसाधित करने में विलंब होना सामान्य है, भले ही आपके ऐप्लिकेशन द्वारा भेद्यता को ठीक कर दिया गया हो.
वैकल्पिक रूप से, यदि आप ऐसी तृतीय पक्ष लाइब्रेरी का उपयोग कर रहे हैं जिसमें libjpeg_turbo शामिल है, तो आपको उसे ऐसे वर्शन में अपग्रेड करना होगा जिसमें libjpeg-turbo v1.4.2 या उसके बाद वाला वर्शन शामिल हो.
भेद्यता हफ़मैन डिकोडर में है जो libjpeg-turbo डिकम्प्रेसर का भाग है. कोई हमलावर 430 बाइट से बड़े हफ़मैन ब्लॉक वाला कृत्रिम JPEG चित्र बनाकर इस भेद्यता का दुरुपयोग कर सकता है. ऐसी फ़ाइल के कारण इनपुट बफ़र को ओवररन किया जाएगा और हमलावर कॉलिंग प्रोग्राम की मेमोरी हीप का एक्सेस प्राप्त कर सकता है.
अन्य तकनीकी प्रश्नों के लिए, आप स्टैक ओवरफ़्लो पर पोस्ट कर सकते हैं और “android-security” टैग का उपयोग कर सकते हैं. ध्यान दें कि Play नीति के बारे में प्रश्न स्टैक ओवरफ़्लो पर पोस्ट नहीं किए जाने चाहिए.
हालांकि इन विशिष्ट समस्याओं से libjpeg-turbo का उपयोग करने वाला प्रत्येक ऐप्लिकेशन प्रभावित नहीं हो सकता है, फिर भी सभी सुरक्षा पैच पर अप टू डेट बने रहना अच्छा है. ऐप्लिकेशन को डेवलपर वितरण अनुबंध और सामग्री पॉलिसी का अनुपालन भी करना होगा. यदि आपको लगता है कि हमें यह भेद्यता चेतावनी गलती से मिली है, तो Google Play डेवलपर सहायता केंद्र के माध्यम से हमारी पॉलिसी सहायता टीम से संपर्क करें.