Ove su informacije namijenjene razvojnim programerima aplikacija koje koriste bilo koju verziju biblioteke Libjepg-turbo stariju od verzije 1.4.2. Aplikacije s takvim ranjivostima mogu ugroziti sigurnost korisnika i mogu se smatrati kršenjem pravila o zlonamjernom ponašanju.
Preselite svoje aplikacije na libjpeg-turbo 1.4.2 ili novije verzije što prije i povećajte broj verzije nadograđenog APK-a. Od 17. rujna 2016. Google Play blokirat će objavljivanje svih novih aplikacija ili ažuriranja s verzijama biblioteke libjpeg-turbo starijima od verzije 1.4.2. Blokiranje se neće primjenjivati na objavljene verzije aplikacije, no ako ne riješite tu ranjivost, blokirat će se sva ažuriranja aplikacije.
Sljedeći koraci
- Preuzmite najnoviju verziju biblioteke libjpeg-turbo.
- Prijavite se na Developer Console i pošaljite ažuriranu verziju aplikacije.
- Provjerite za pet sati. Ako aplikacija nije pravilno ažurirana, prikazat ćemo upozorenje. Napominjemo da obrada aplikacije može kasniti čak i ako ste uklonili ranjivost.
Ako upotrebljavate biblioteku treće strane koja uključuje libjpeg_turbo, morat ćete je nadograditi na verziju koja uključuje libjpeg-turbo 1.4.2 ili noviju verziju.
Ranjivost je prisutna u Huffman dekoderu koji je dio libjpeg-turbo dekompresora. Napadač može iskoristiti tu ranjivost tako što će izraditi umjetnu JPEG sliku s Huffman blokovima većima od 430 bajtova. Takva će datoteka uzrokovati prelijevanje međuspremnika unosa, pa napadač može dobiti pristup memorijskoj gomili (heap) pozivajućeg programa.
Ostala tehnička pitanja možete objaviti na Stack Overflowu uz oznaku "android-security". Napominjemo da se na Stack Overflowu ne bi trebala objavljivati pitanja o pravilima Playa.
Iako te poteškoće ne moraju utjecati na sve aplikacije koje upotrebljavaju libjpeg-turbo, najbolje je ažurirati sve sigurnosne zakrpe. Aplikacije moraju biti u skladu i s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju. Ako smatrate da ste upozorenje o ranjivosti dobili pogreškom, obratite se našem timu za podršku pravila putem centra za pomoć za razvojne programere Google Playa.