Ове информације су намењене програмерима апликација које користе неку од верзија Libjepg-turbo библиотеке које претходе верзији 1.4.2. Апликације са оваквим пропустима могу да изложе кориснике ризику од угрожавања садржаја и сматра се да крше смернице у вези са злонамерним понашањем.
Што пре пренесите апликације у libjpeg-turbo 1.4.2 или новију верзију и повећајте број верзије надограђеног APK-а. Од 17. септембра 2016. Google Play ће блокирати објављивање свих нових апликација или ажурирања који користе верзије libjpeg-turbo библиотеке старије од верзије 1.4.2. То неће утицати на објављену верзију апликације, али ће сва ажурирања апликације бити блокирана ако не отклоните овај пропуст.
Следећи кораци
- Преузмите најновију верзију libjpeg-turbo библиотеке.
- Пријавите се на Developer Console и пошаљите ажурирану верзију апликације.
- Проверите после пет сати – видећете поруку са упозорењем ако апликација није правилно ажурирана. Имајте на уму да може да дође до кашњења при обради чак и ако сте исправили пропусте у апликацији.
Ако користите библиотеку независног произвођача која садржи libjpeg-turbo, треба да је надоградите на верзију која садржи libjpeg-turbo 1.4.2 или новију верзију.
Пропуст се налази у Huffman декодеру који је део libjpeg-turbo декомпресора. Нападач може да злоупотреби овај пропуст прављењем вештачке JPEG слике помоћу Huffman блокова већих од 430 бајтова. Таква датотека узрокује прекорачење улазне међумеморије и нападач може да добије приступ динамичком делу меморије позивног програма.
Ако имате других техничких питања, поставите их на Stack Overflow-у помоћу ознака „android-security“. Имајте на уму да питања о смерницама за Play не треба да се постављају на Stack Overflow-у.
Иако ови конкретни проблеми неће утицати на све апликације које користе libjpeg-turbo, најбоље је да благовремено примењујете све безбедносне закрпе. Апликације такође морају да буду у складу са Уговором о дистрибуцији за програмере и Смерницама за садржај. Ако сматрате да сте грешком примили ово упозорење о пропустима, контактирајте тим за подршку у вези са смерницама преко Google Play центра за помоћ за програмере.