Αυτές οι πληροφορίες αφορούν προγραμματιστές εφαρμογών που αξιοποιούν οποιαδήποτε έκδοση της βιβλιοθήκης Libjepg-turbo, προγενέστερη της έκδοσης 1.4.2. Οι εφαρμογές με ευπάθειες αυτού του είδους που εκθέτουν τους χρήστες σε κίνδυνο παραβίασης ενδέχεται να θεωρηθεί ότι παραβιάζουν την Πολιτική σχετικά με την κακόβουλη συμπεριφορά.
Μετεγκαταστήστε τις εφαρμογές σας στην έκδοση 1.4.2 του libjpeg-turbo ή σε νεότερη έκδοση το συντομότερο δυνατό και αυξήστε τον αριθμό της έκδοσης των αναβαθμισμένων APK. Από τις 17 Σεπτεμβρίου 2016, το Google Play θα αποκλείει τη δημοσίευση νέων εφαρμογών ή ενημερώσεων που χρησιμοποιούν εκδόσεις του libjpeg-turbo προγενέστερες της έκδοσης 1.4.2. Η δημοσιευμένη έκδοση της εφαρμογής σας θα παραμείνει αμετάβλητη, ωστόσο δεν θα επιτρέπονται οι ενημερώσεις της εφαρμογής μέχρι να αντιμετωπίσετε αυτήν την ευπάθεια.
Επόμενα βήματα
- Κατεβάστε την πιο πρόσφατη έκδοση του libjpeg-turbo.
- Συνδεθείτε στο Developer Console και υποβάλετε την ενημερωμένη έκδοση της εφαρμογής σας.
- Επιστρέψτε μετά από πέντε ώρες. Αν η εφαρμογή δεν ενημερώθηκε σωστά, θα εμφανιστεί ένα προειδοποιητικό μήνυμα. Λάβετε υπόψη ότι ορισμένες καθυστερήσεις επεξεργασίας παρουσιάζονται συχνά, ακόμη και αν η εφαρμογή σας έχει επιδιορθώσει την ευπάθεια.
Αν χρησιμοποιείτε βιβλιοθήκη άλλου προμηθευτή η οποία περιέχει το libjpeg_turbo, θα χρειαστεί να την αναβαθμίσετε σε μια έκδοση που περιέχει το libjpeg-turbo v1.4.2 ή μεταγενέστερη έκδοση.
Η ευπάθεια εντοπίζεται στον αποκωδικοποιητή Huffman που αποτελεί μέρος του αποσυμπιεστή libjpeg-turbo. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια δημιουργώντας μια τεχνητή εικόνα JPEG με μπλοκ Huffman μεγαλύτερα από 430 byte. Ένα αρχείο αυτού του είδους θα προκαλέσει υπέρβαση ορίου εισόδου στην προσωρινή μνήμη και ο εισβολέας μπορεί να αποκτήσει πρόσβαση στο στιγμιότυπο μνήμης του προγράμματος κλήσης.
Για περισσότερες τεχνικές ερωτήσεις, μπορείτε να κάνετε μια δημοσίευση στον ιστότοπο Stack Overflow χρησιμοποιώντας τις ετικέτες "android-security". Λάβετε υπόψη ότι οι ερωτήσεις σχετικά με την πολιτική Play δεν θα πρέπει να δημοσιεύονται στον ιστότοπο Stack Overflow.
Παρόλο που αυτά τα συγκεκριμένα προβλήματα ενδέχεται να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί το libjpeg-turbo, είναι προτιμότερο να διατηρείτε ενημερωμένες τις εφαρμογές σας με όλες τις ενημερώσεις κώδικα ασφαλείας. Οι εφαρμογές θα πρέπει να συμμορφώνονται επίσης με το Συμφωνητικό διανομής για προγραμματιστές και την Πολιτική περιεχομένου. Αν πιστεύετε ότι έχετε λάβει κατά λάθος αυτήν την προειδοποίηση ευπάθειας, επικοινωνήστε με την ομάδα υποστήριξης πολιτικής μέσω του Κέντρου βοήθειας για προγραμματιστές του Google Play.