Como corrigir aplicações com a vulnerabilidade do libjpeg-turbo

Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da biblioteca libjepg-turbo anterior à 1.4.2. As aplicações com vulnerabilidades como esta podem expor os utilizadores ao risco de comprometimento e podem ser consideradas infratoras da nossa Política de Comportamento Malicioso.

Migre as suas aplicações para o libjpeg-turbo v1.4.2 ou superior assim que possível e aumente o número da versão do APK atualizado. A partir de 17 de setembro 2016, o Google Play bloqueia a publicação de quaisquer novas aplicações ou atualizações que utilizem versões do libjpeg-turbo anteriores à 1.4.2. A versão do APK publicado não é afetada, porém, todas as atualizações da aplicação são bloqueadas se esta vulnerabilidade não for resolvida.

Passos seguintes

  1. Transfira a versão mais recente do libjpeg-turbo.
  2. Inicie sessão na Developer Console e envie a versão atualizada da aplicação.
  3. Verifique novamente após cinco horas. Se a aplicação não tiver sido atualizada corretamente, apresentamos uma mensagem de aviso. Tenha a atenção que alguns atrasos de processamento são comuns mesmo que a aplicação tenha corrigido a vulnerabilidade.

Em alternativa, se estiver a utilizar uma biblioteca de terceiros que agregue o libjpeg_turbo, tem de a atualizar para uma versão que agregue a versão v1.4.2 ou superior do libjpeg-turbo.

A vulnerabilidade está no descodificador Huffman, que faz parte do descompressor do libjpeg-turbo. Um utilizador mal-intencionado pode explorar esta vulnerabilidade ao criar uma imagem JPEG artificial com blocos do Huffman superiores a 430 bytes. Um ficheiro deste tipo provoca um transbordo da memória intermédia de entrada e o utilizador mal-intencionado pode obter acesso à área dinâmica da memória do programa de chamada.

Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Tenha em atenção que não deve publicar perguntas sobre a política do Play no Stack Overflow.

Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o libjpeg-turbo, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos. Se considerar que lhe enviámos este aviso por engano, contacte a nossa equipa de apoio técnico de políticas através do Centro de Ajuda para programadores do Google Play.

false
Menu principal
12835305783363083353
true
Pesquisar no Centro de ajuda
true
true
true
true
true
5016068
false
false