Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da biblioteca libjepg-turbo anterior à 1.4.2. As aplicações com vulnerabilidades como esta podem expor os utilizadores ao risco de comprometimento e podem ser consideradas infratoras da nossa Política de Comportamento Malicioso.
Migre as suas aplicações para o libjpeg-turbo v1.4.2 ou superior assim que possível e aumente o número da versão do APK atualizado. A partir de 17 de setembro 2016, o Google Play bloqueia a publicação de quaisquer novas aplicações ou atualizações que utilizem versões do libjpeg-turbo anteriores à 1.4.2. A versão do APK publicado não é afetada, porém, todas as atualizações da aplicação são bloqueadas se esta vulnerabilidade não for resolvida.
Passos seguintes
- Transfira a versão mais recente do libjpeg-turbo.
- Inicie sessão na Developer Console e envie a versão atualizada da aplicação.
- Verifique novamente após cinco horas. Se a aplicação não tiver sido atualizada corretamente, apresentamos uma mensagem de aviso. Tenha a atenção que alguns atrasos de processamento são comuns mesmo que a aplicação tenha corrigido a vulnerabilidade.
Em alternativa, se estiver a utilizar uma biblioteca de terceiros que agregue o libjpeg_turbo, tem de a atualizar para uma versão que agregue a versão v1.4.2 ou superior do libjpeg-turbo.
A vulnerabilidade está no descodificador Huffman, que faz parte do descompressor do libjpeg-turbo. Um utilizador mal-intencionado pode explorar esta vulnerabilidade ao criar uma imagem JPEG artificial com blocos do Huffman superiores a 430 bytes. Um ficheiro deste tipo provoca um transbordo da memória intermédia de entrada e o utilizador mal-intencionado pode obter acesso à área dinâmica da memória do programa de chamada.
Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Tenha em atenção que não deve publicar perguntas sobre a política do Play no Stack Overflow.
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o libjpeg-turbo, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos. Se considerar que lhe enviámos este aviso por engano, contacte a nossa equipa de apoio técnico de políticas através do Centro de Ajuda para programadores do Google Play.