Информацията по-долу е предназначена за програмисти на приложения, в които се използват версии на библиотеката Libjepg-turbo, по-стари от 1.4.2. Приложенията с такива уязвимости могат да изложат потребителите на риск от компрометиране и може да бъдат сметнати за продукти в нарушение на правилата ни за злонамереното поведение.
Моля, възможно най-скоро променете приложението или съответно приложенията си, така че да използват libjpeg-turbo 1.4.2 или по-нова версия и увеличете номера на версията на надстроения APK файл. От 17 септември 2016 г. Google Play ще блокира публикуването на нови приложения или актуализации, в които се използват версии на libjpeg-turbo, по-стари от 1.4.2. Публикуваната версия на приложението ви няма да бъде засегната, но ще блокираме всички негови актуализации, за които не е отстранена тази уязвимост.
Следващи стъпки
- Изтеглете най-новата версия на libjpeg-turbo.
- Влезте в профила си в Developer Console и изпратете актуализираната версия на приложението си.
- Проверете отново след пет часа – ще видите предупреждение, ако приложението не е актуализирано както трябва. Имайте предвид, че е нормално да има известно забавяне при обработката дори ако уязвимостта в приложението ви е отстранена.
Освен това, в случай че работите с библиотека на трета страна, която включва libjpeg_turbo в пакет, ще се наложи да я надстроите, така че да се използва libjpeg-turbo 1.4.2 или по-нова версия.
Уязвимостта е в декодера на Хъфман, който е част от декомпресора libjpeg-turbo. Извършител на атака може да се възползва от тази уязвимост, като създаде изкуствено JPEG изображение с хъфманови блокове, по-големи от 430 байта. Такъв файл ще причини претоварване на входния буфер и извършителят на атаката може да получи достъп до паметта на извикващата програма.
Ако имате други технически въпроси, можете да ги публикувате в Stack Overflow и да използвате маркера „android-security“. Имайте предвид, че там не трябва да се задават въпроси относно правилата на Google Play.
Макар че е възможно тези конкретни проблеми да не засягат всяко приложение, в което се използва libjpeg-turbo, най-добре е да имате всички актуални корекции за сигурност. Приложенията също така трябва да спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието. Ако смятате, че сте получили това предупреждение за уязвимост по погрешка, свържете се с екипа ни за поддръжка във връзка с правилата чрез Помощния център на Google Play за програмисти.