Cómo reparar apps con vulnerabilidades de libjpeg-turbo

Esta información está dirigida a los programadores de apps que usen cualquier versión de la biblioteca de libjepg-turbo anterior a la versión 1.4.2. Es posible que las apps con este tipo de vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de comportamiento malicioso.

Migra tus apps a la versión 1.4.2 (o a una versión posterior) de libjpeg-turbo lo antes posible e incrementa el número de versión del APK actualizado. A partir del 17 de septiembre de 2016, Google Play bloqueará la publicación de apps nuevas o actualizaciones que usen versiones vulnerables de libjpeg-turbo. La versión publicada de tu app no cambiará, pero se bloquearán las actualizaciones de la app si no se soluciona la vulnerabilidad.

Pasos siguientes

  1. Descarga la última versión de libjpeg-turbo.
  2. Accede a Developer Console y envía la versión actualizada de tu app.
  3. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. Ten en cuenta que el proceso podría demorarse, incluso si reparaste el error de vulnerabilidad de tu app.

De manera alternativa, si usas una biblioteca de terceros que incluye libjpeg-turbo, tendrás que actualizarla a una versión que incluya libjpeg-turbo 1.4.2 o una versión posterior.

La vulnerabilidad está en el decodificador Huffman que es parte del descompresor de libjpeg-turbo. Un atacante podría aprovechar esta vulnerabilidad y crear una imagen JPEG artificial con bloques Huffman de más de 430 bytes. Un archivo de este tipo provocará un desbordamiento de búfer de entrada, por lo que el atacante podría obtener acceso a la pila de memoria del programa que se invoca.

Si tienes alguna pregunta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security". Ten en cuenta que no debes publicar preguntas sobre las políticas de Play en este sitio.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan libjpeg-turbo, se recomienda mantener todos los parches de seguridad actualizados. Las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.