如果开发者发布的应用使用了 1.4.2 之前任意版本的 Libjpeg-turbo 库,请参阅本文信息。如果应用包含这种漏洞,则会让用户面临入侵风险,并可能会被视为违反恶意行为政策。
请尽快将您的应用迁移至 libjpeg-turbo 1.4.2 版或更高版本,并增加升级版 APK 的版本号。 从 2016 年 9 月 17 日起,Google Play 将禁止发布任何使用了 1.4.2 之前版本的 libjpeg-turbo 的新应用或应用更新。您已发布的应用版本不会受到影响,不过,在修复此漏洞之前,您将无法为应用发布任何更新。
后续步骤
- 下载最新版 libjpeg-turbo。
- 登录 Developer Console 并提交应用的更新版本。
- 过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示相应的警告消息。请注意,即使您的应用已修复相应漏洞,处理过程中也可能会出现延迟情况,这是很常见的情况。
此外,如果您使用的第三方库捆绑了 libjpeg_turbo,则需要将其升级到捆绑 libjpeg-turbo 1.4.2 版或更高版本的版本。
该漏洞存在于霍夫曼解码器(是 libjpeg-turbo 解压缩工具的一部分)中。攻击者可利用这个漏洞,通过大于 430 字节的霍夫曼块来创建假冒的 JPEG 图片。这种文件会导致输入缓冲器超限,让攻击者得以获取调用程序内存堆的权限。
如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于 Play 政策的问题。
尽管这些具体问题不一定会对使用 libjpeg-turbo 的所有应用都造成影响,但我们仍建议您安装所有最新的安全补丁。应用还必须遵循开发者分发协议和内容政策。如果您认为我们发送此漏洞警告的判断有误,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。