Sådan retter du sikkerhedsbrister i forbindelse med libjpeg-turbo i apps

Disse oplysninger er beregnet til udviklere af apps, der benytter en version af samlingen libjpeg-turbo, som er ældre end 1.4.2. Apps med sikkerhedsbrister som denne kan gøre brugerne udsatte for kompromittering, og det kan være i strid med vores politik vedrørende skadelig adfærd.

Overfør dine apps til libjpeg-turbo v1.4.2 eller nyere hurtigst muligt, og hæv versionsnummeret på den opgraderede APK-fil. Fra og med den 17. september 2016 blokerer Google Play udgivelsen af alle nye apps eller opdateringer, der anvender versioner af libjpeg-turbo, der er ældre end 1.4.2. Den version af appen, du har udgivet, påvirkes ikke, men eventuelle opdateringer af appen blokeres, medmindre de retter denne sikkerhedsbrist.

Næste trin

  1. Download den nyeste version af libjpeg-turbo.
  2. Log ind på Developer Console, og indsend den opdaterede version af din app.
  3. Vend tilbage efter fem timer – du får vist en advarselsmeddelelse, hvis appen ikke er opdateret korrekt. Bemærk, at en vis forsinkelse i behandlingen er almindelig, selvom sikkerhedsbristen er rettet i din app.

Hvis du bruger en tredjepartssamling, der indeholder libjpeg_turbo, skal du opgradere den til en version, der indeholder libjpeg 1.4.2 eller nyere.

Sikkerhedsbristen findes i Huffman-koden, som udgør en del af dekomprimeringen til libjpeg-turbo. En hacker kan udnytte denne sikkerhedsbrist ved at oprette et kunstigt JPEG-billede med Huffman-blokeringer, der er større end 430 byte. En sådan fil vil resultere i, at inputbufferen overskrides, og hackeren kan dermed opnå adgang til opkaldsprogrammets hukommelsesheap.

Hvis du har andre tekniske spørgsmål, kan du oprette et indlæg i Stack Overflow og bruge tagget "android-security". Bemærk, at spørgsmål om Play-politikker ikke bør stilles i Stack Overflow.

Selvom disse problemer muligvis ikke påvirker alle de apps, der benytter libjpeg-turbo, er det en god idé at opdatere med alle sikkerhedsrettelser. Apps skal også overholde distributionsaftalen for udviklere og indholdspolitikken. Hvis du mener, at du har modtaget denne advarsel om en sikkerhedsbrist ved en fejl, kan du kontakte vores supportteam via Hjælp til Google Play-udviklere.