Esta información está destinada a los desarrolladores de aplicaciones que utilizan cualquier versión de la biblioteca libjpeg-turbo anterior a la versión 1.4.2. Las aplicaciones con vulnerabilidades como esta pueden suponer un riesgo para la seguridad de los usuarios y es posible que infrinjan la política de comportamiento malicioso.
Migra tus aplicaciones a la versión 1.4.2 de libjpeg-turbo o a versiones posteriores lo antes posible y aumenta el número de versión del archivo APK actualizado. A partir del 17 de septiembre de 2016, Google Play bloqueará la publicación de cualquier aplicación nueva o actualización que utilice versiones de libjpeg-turbo anteriores a la 1.4.2. Esto no afectará a las versiones ya publicadas de tus aplicaciones, pero se bloqueará cualquier actualización en la que no se haya solucionado esta vulnerabilidad.
Próximos pasos
- Descarga la última versión de libjpeg-turbo.
- Inicia sesión en Developer Console y envía la versión actualizada de tu aplicación.
- Vuelve a comprobarla transcurridas cinco horas (si la aplicación no se ha actualizado correctamente, aparecerá un mensaje de advertencia). Ten en cuenta que es normal que el proceso sea lento aunque hayas solucionado la vulnerabilidad de tu aplicación.
Además, si utilizas una biblioteca externa que incluya libjpeg-turbo, debes actualizarla con libjpeg-turbo 1.4.2 o versiones posteriores.
La vulnerabilidad se encuentra en el decodificador Huffman, que forma parte del descompresor libjpeg-turbo. Es posible que un atacante pueda aprovechar esta vulnerabilidad para crear una imagen JPEG con bloques de código Huffman con más de 430 bytes. Este archivo provoca un desbordamiento de búfer de entrada, lo que permite al atacante acceder a la memoria del programa en ejecución.
Si tienes alguna otra pregunta técnica, puedes pubilcarla en Stack Overflow y utilizar las etiquetas “android-security”. No deben publicarse preguntas sobre políticas de Google Play en Stack Overflow.
Aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilicen ibjpeg-turbo, te recomendamos que mantengas todos los parches de seguridad actualizados. Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y la Política de Contenidos. Si crees que has recibido esta advertencia por error, ponte en contacto con el equipo de asistencia de políticas a través del Centro de Ayuda para Desarrolladores de Google Play.