Aquesta informació està destinada als desenvolupadors d'aplicacions que utilitzen qualsevol versió de la biblioteca libjpeg-turbo que sigui anterior a la versió 1.4.2. Les aplicacions amb aquest tipus de vulnerabilitat posen en perill la informació dels usuaris i es pot considerar que infringeixen la nostra política sobre comportament maliciós.
Migra les teves aplicacions a la versió 1.4.2 de libjpeg-turbo o a una de posterior tan aviat com puguis i incrementa el número de versió de l'APK actualitzat. A partir del 17 de setembre del 2016, Google Play bloquejarà la publicació de qualsevol aplicació nova o actualització que utilitzi versions de libjpeg-turbo anteriors a la versió 1.4.2. El canvi no afectarà la versió de l'aplicació que hi hagi publicada; no obstant això, les actualitzacions de l'aplicació es bloquejaran si no soluciones aquesta vulnerabilitat.
Passos següents
- Baixa la versió més recent de libjpeg-turbo.
- Inicia la sessió al teu compte de Developer Console i envia la versió actualitzada de l'aplicació.
- Torna-ho a consultar al cap de cinc hores; en cas que l'aplicació no s'hagi actualitzat correctament, mostrarem un advertiment. Tingues en compte que, encara que la teva aplicació hagi corregit la vulnerabilitat, és possible que hi hagi retards en el processament.
De manera alternativa, si utilitzes la biblioteca d'un tercer en què s'inclou libjpeg-turbo, l'has d'actualitzar a una versió que inclogui la versió 1.4.2 de libjpeg-turbo o una de posterior.
La vulnerabilitat es troba al descodificador Huffman que forma part del descompressor libjpeg-turbo. Un atacant podria aprofitar aquesta vulnerabilitat per crear una imatge JPEG artificial amb blocs Huffman de més de 430 bytes. Un fitxer d'aquest tipus provocaria el desbordament de la memòria intermèdia d'entrada, de manera que l'atacant podria accedir a l'espai de memòria del programa que fa la crida.
Per resoldre altres dubtes tècnics, publica les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Recorda que les preguntes sobre la política de Google Play no s'han de publicar a Stack Overflow.
Tot i que és possible que aquests problemes concrets no afectin totes les aplicacions que utilitzen libjpeg-turbo, és millor tenir tots els pedaços de seguretat actualitzats. Les aplicacions també han de complir l'Acord de distribució per a desenvolupadors i la Política de continguts. Si creus que has rebut aquest advertiment per error, posa't en contacte amb el nostre equip d'assistència sobre polítiques des del Centre d'ajuda per a desenvolupadors de Google Play.