Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa käytetään libjepg-turbo-kirjaston versiota 1.4.2 vanhempaa versiota. Jos sovelluksessa on tällaisia käyttäjille mahdollisesti haitallisia haavoittuvuuksia, sen voidaan katsoa rikkovan haitallista toimintaa koskevaa käytäntöämme.
Ota libjpeg-turbon versio 1.4.2 tai uudempi käyttöön sovelluksessasi mahdollisimman pian ja muokkaa päivitetyn APK:n versionumeroa. 17.9.2016 alkaen Google Play estää kaikkien sellaisten sovellusten ja päivitysten julkaisun, joissa käytettävä libjpeg-turbon versio on vanhempi kuin 1.4.2. Tämä ei vaikuta julkaistuun sovellusversioosi, mutta sovelluksen päivitykset estetään, jos haavoittuvuutta ei ole korjattu niissä.
Seuraavat vaiheet
- Lataa libjpeg-turbon uusin versio.
- Kirjaudu Developer Consoleen ja lähetä päivitetty versio sovelluksestasi.
- Tarkista tilanne viiden tunnin päästä – näet varoitusviestin, jos sovellusta ei ole päivitetty oikein. Huomaa, että käsittelyssä esiintyvät viiveet ovat tavallisia, vaikka haavoittuvuus olisi korjattu.
Jos käytät libjpeg-turbon sisältävää kolmannen osapuolen kirjastoa, päivitä se versioon, joka sisältää libjpeg-turbon version 1.4.2 tai uudemman.
Haavoittuvuus sijaitsee Huffman-koodinpurkajassa, joka on osa libjpeg-turbon purkutyökalua. Hyökkääjä voi hyödyntää haavoittuvuutta luomalla keinotekoisen JPEG-kuvan, jonka Huffman-lohkojen koko on yli 430 tavua. Tällainen tiedosto aiheuttaa syöttöpuskurin ylivuodon, jolloin hyökkääjä voi käyttää kutsun lähettäneen ohjelman muistia.
Muita teknisiä kysymyksiä voit esittää Stack Overflow -sivustolla. Merkitse kysymyksesi tagilla android-security. Älä lähetä Stack Overflow'hun kysymyksiä Playn käytännöistä.
Vaikka nämä ongelmat eivät välttämättä koske kaikkia libjpeg-turboa käyttäviä sovelluksia, suosittelemme kaikkien tietoturvakorjauksien käyttöönottoa. Sovellusten täytyy noudattaa myös kehittäjien jakelusopimusta ja sisältökäytäntöä. Jos uskot tämän varoituksen olevan aiheeton, ota yhteyttä käytäntöjen tukitiimiimme Google Play -kehittäjien ohjekeskuksessa.