هذه المعلومات مخصصة لمطوِّري التطبيقات التي تستخدم أي إصدار من مكتبة Libjepg-turbo يسبق الإصدار 1.4.2. والتطبيقات التي تتضمن ثغرات أمنية كهذه من الممكن أن تعرِّض المستخدمين لخطر الاختراق ويمكن اعتبارها انتهاكًا لسياسة السلوك الخطير المتبعة لدينا.
يُرجى نقل تطبيقاتك إلى libjpeg-turbo v1.4.2 أو إصدار أحدث في أقرب وقت ممكن، وزيادة رقم إصدار ملف APK الذي تمت ترقيته. وبدءًا من 17 أيلول (سبتمبر) 2016، سيحظر Google Play نشر أي تطبيقات أو تحديثات جديدة تستخدم إصدارات من libjpeg-turbo سابقة للإصدار 1.4.2. وسيظل إصدار التطبيق المنشور كما هو بدون أي تغيير، إلا أنه سيتم حظر أي تحديثات إلى التطبيق ما لم تكن هذه التحديثات تعالج هذه الثغرة الأمنية.
الخطوات التالية
- تنزيل أحدث إصدار من libjpeg-turbo.
- تسجيل الدخول إلى Developer Console وإرسال الإصدار المحدَّث من تطبيقك.
- المراجعة مرة أخرى بعد مرور خمس ساعات نظرًا لأننا سنعرض رسالة تحذير إذا لم يتم تحديث التطبيق على نحو سليم. لاحظ أنه من الشائع حدوث بعض التأخيرات في المعالجة؛ حتى إذا كان تطبيقك قد أصلح الثغرات الأمنية.
بدلاً من ذلك، وإذا كنت تستخدم مكتبة تابعة لجهة خارجية وكانت هذه المكتبة تضم libjpeg_turbo، فيجب ترقيتها إلى إصدار يضم libjpeg-turbo 1.4.2 أو إصدارًا أحدث.
توجد الثغرة الأمنية في أداة فك الترميز Huffman التي تعد جزءًا من أداة التفكيك libjpeg-turbo. ويمكن للمهاجمين استغلال هذه الثغرة الأمنية من خلال إنشاء صورة JPEG صناعية باستخدام كتل Huffman أكبر من 430 بايت. وسيؤدي هذا الملف إلى تجاوز المخزن المؤقت للإدخال، وقد يحصل المهاجم على إمكانية الوصول إلى كومة ذاكرة البرنامج الذي يتولى الطلب.
بالنسبة إلى الأسئلة التقنية الأخرى، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لاحظ أن الأسئلة حول سياسة Play يجب عدم طرحها على موقع Stack Overflow.
يرجى العلم أنه من الأفضل أن تكون على اطلاع دائم على جميع رموز تصحيحات الأمان، بالرغم من أن هذه المشكلات المحددة ربما لا تؤثر في كل تطبيق يستخدم libjpeg-turbo. يجب أيضًا أن تلتزم التطبيقات باتفاقية توزيع مطوّري البرامج وسياسة المحتوى. وإذا كنت تعتقد أننا استلمنا هذا التحذير عن الثغرة الأمنية عن طريق الخطأ، فيمكنك الاتصال بفريق الدعم المعني بالسياسات المتبعة لدينا من خلال مركز مساعدة مطوّري برامج Google Play.