Odstraňování chyb zabezpečení u aplikací s knihovnou libjpeg-turbo

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi knihovny libjpeg-turbo starší než 1.4.2. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chování.

Co nejdříve aplikace migrujte na knihovnu libjpeg-turbo verze 1.4.2 nebo vyšší a zvyšte číslo verze upgradovaného souboru APK. Od 17. září 2016 bude Google Play blokovat publikování nových aplikací a aktualizací, které používají verze knihovny libjpeg-turbo starší než 1.4.2. Publikovaná verze aplikace zůstane nedotčena. Pokud však chybu zabezpečení neodstraníte, aktualizace aplikace budou blokovány.

Další kroky

  1. Stáhněte si nejnovější verzi knihovny libjpeg-turbo.
  2. Přihlaste se do konzole Developer Console a odešlete aktualizovanou verzi aplikace.
  3. Vraťte se zpět za pět hodin. Pokud aktualizace nebyla úspěšná, zobrazíme upozornění. Při zpracování může docházet k prodlevám, a to i když byla chyba zabezpečení v aplikaci odstraněna.

Pokud používáte knihovnu třetí strany, která obsahuje knihovnu libjpeg_turbo, bude potřeba přejít na verzi knihovny s knihovnou libjpeg_turbo verze 1.4.2 nebo novější.

Chyba zabezpečení je způsobena dekodérem Huffman, který je součástí dekompresoru knihovny libjpeg_turbo. Útočník by této chyby mohl zneužít vytvořením umělého obrázku JPEG s bloky Huffman většími než 430 bajtů. Takový soubor způsobí chybu přeběhu vyrovnávací paměti a útočník může získat přístup k haldě paměti volajícího programu.

Máte-li jiné technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Na webu Stack Overflow nezadávejte dotazy ohledně zásad služby Play.

Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci, která používá knihovnu libjpeg-turbo, doporučujeme instalovat všechny opravy zabezpečení. Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami. Pokud se domníváte, že jsme vám toto upozornění zaslali omylem, obraťte se prostřednictvím centra nápovědy pro vývojáře Google Play na náš tým podpory.