この情報は、Libjpeg-turbo ライブラリの 1.4.2 より前のバージョンを使用しているアプリのデベロッパーを対象としています。このような脆弱性を含むアプリは、ユーザーのセキュリティを侵害するおそれがあり、悪意のある行為に関するポリシーに違反すると判断される場合があります。
できる限り早急にアプリを libjpeg-turbo v1.4.2 以降に移行し、アップグレードした APK のバージョン番号を増分するようお願いいたします。 2016 年 9 月 17 日以降、Google Play では、バージョン 1.4.2 より前の libjpeg-turbo を使用するすべての新規アプリおよびアップデートの公開が禁止されます。公開済みのアプリのバージョンは影響を受けませんが、この脆弱性に対応しない限り、アプリのアップデートはブロックされます。
次のステップ
- libjpeg-turbo の最新バージョンをダウンロードします。
- Developer Console にログインし、アプリの更新版を送信します。
- 5 時間後にもう一度確認してください。アプリが正しく更新されていない場合は、警告メッセージが表示されます。アプリの脆弱性を修正していても、一部の処理に遅れが発生することはよくあります。
libjpeg-turbo をバンドルするサードパーティのライブラリを使用している場合、libjpeg-turbo v1.4.2 以降をバンドルするバージョンにアップグレードする必要があります。
脆弱性は libjpeg-turbo デコンプレッサーの一部であるハフマン デコーダー内にあります。攻撃者がこの脆弱性を利用して、430 バイトを超えるハフマン ブロックの人為的な JPEG 画像を作成するおそれがあります。こうしたファイルは入力バッファのオーバーランを引き起こし、攻撃者が呼び出しプログラムのメモリヒープにアクセスできるようになります。
この他の技術的な不明点については、Stack Overflow にタグ「android-security」を使用してご投稿ください。Play ポリシーに関する質問は Stack Overflow に投稿しないでください。
この問題が libjpeg-turbo を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。今回の脆弱性に関する通知が誤りであると思われる場合は、Google Play デベロッパー ヘルプセンターからサポートチームにご連絡ください。