Informasi ini ditujukan bagi pengembang aplikasi yang menggunakan versi pustaka Libjepg-turbo apa pun sebelum 1.4.2. Aplikasi dengan kerentanan seperti ini dapat membuat pengguna berisiko disusupi dan dapat dianggap melanggar kebijakan Perilaku Berbahaya kami.
Migrasikan aplikasi Anda ke libjpeg-turbo v1.4.2 atau yang lebih tinggi sesegera mungkin dan tambahkan nomor versi APK yang telah ditingkatkan versinya. Mulai 17 September 2016, Google Play akan memblokir publikasi aplikasi baru atau pembaruan apa pun yang menggunakan libjpeg-turbo di bawah versi 1.4.2. Versi aplikasi yang telah dipublikasikan tidak akan terpengaruh. Namun, pembaruan terhadap aplikasi akan diblokir kecuali pembaruan tersebut mengatasi masalah kerentanan ini.
Langkah berikutnya
- Unduh versi terbaru libjpeg-turbo.
- Masuk ke Developer Console dan kirimkan versi aplikasi yang sudah diperbarui.
- Periksa kembali setelah lima jam - kami akan menampilkan pesan peringatan jika aplikasi belum diperbarui dengan benar. Perhatikan bahwa beberapa penundaan pemrosesan adalah hal yang umum meskipun aplikasi Anda telah memperbaiki kerentanan.
Selain itu, jika menggunakan pustaka pihak ke-3 yang menyatukan libjpeg_turbo dalam paket, Anda perlu meningkatkannya ke versi paket yang menyatukan ibjpeg-turbo v1.4.2 atau lebih tinggi.
Kerentanan ini ada dalam pendekode Huffman yang merupakan bagian dari dekompresor libjpeg-turbo. Penyerang dapat mengeksploitasi kerentanan ini dengan membuat gambar JPEG palsu menggunakan blok Huffman yang lebih besar dari 430 byte. File semacam itu dapat menyebabkan penyanggaan masukan yang berlebih, dan penyerang dapat memperoleh akses ke kumpulan memori program panggilan.
Untuk pertanyaan teknis lainnya, Anda dapat mengeposkannya ke Stack Overflow dan menggunakan tag “android-security”. Perhatikan bahwa pertanyaan tentang kebijakan Play tidak dapat diposkan di Stack Overflow.
Meskipun masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan libjpeg-turbo, sebaiknya selalu perbarui semua patch keamanan. Aplikasi juga harus mematuhi Perjanjian Distribusi Pengembang dan Kebijakan Konten. Jika menurut Anda kami tidak seharusnya menerima peringatan kerentanan ini, hubungi tim dukungan kebijakan melalui Pusat Bantuan Pengembang Google Play.