A Libjpeg-turbo biztonsági rését tartalmazó alkalmazások javítása

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek a Libjepg-turbo könyvtár 1.4.2-es előtti valamelyik verzióját használják. Az ilyen, biztonsági réseket tartalmazó alkalmazások a felhasználókat a támadások kockázatának tehetik ki, ezért olyan termékeknek tekinthetjük őket, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveket.

Kérjük, a lehető leghamarabb telepítsd át alkalmazásaidat a libjpeg-turbo 1.4.2-es vagy magasabb verziójára, és növeld a frissített APK verziószámát. 2016. szeptember 17-től kezdve a Google Play minden olyan új alkalmazás vagy frissítés közzétételét letiltja, amely a libjpeg-turbo 1.4.2 előtti verzióinak valamelyikét használja. A közzétett alkalmazásverzióra mindez nincs hatással, ám az alkalmazás frissítéseit letiltjuk mindaddig, amíg ki nem javítod ezt a biztonsági rést.

További lépések

  1. Töltsd le a libjpeg-turbo legújabb verzióját.
  2. Jelentkezz be Developer Console-fiókodba, és küldd be alkalmazásod frissített verzióját.
  3. Nézz vissza öt óra elteltével – figyelmeztető üzenetet jelenítünk meg, ha az alkalmazás frissítése nem volt megfelelő. Kérjük, vedd figyelembe, hogy a feldolgozásban késések fordulhatnak elő még akkor is, ha alkalmazásodban már kijavítottad a biztonsági rést.

Másik lehetőségként, ha harmadik fél olyan könyvtárát használod, amely tartalmazza a libjpeg_turbo szolgáltatást, akkor azt olyan verzióra kell frissítened, amelyben a libjpeg_turbo 1.4.2 vagy újabb verziója van.

A biztonsági rés a Huffman dekóderben található, amely a libjpeg-turbo kibontójának része. A támadók úgy használhatják ki ezt a biztonsági rést, hogy mesterséges JPEG-képet hoznak létre 430 bájtnál nagyobb Huffman-tömbökkel. Az ilyen fájlok a bemeneti puffer túlcsordulását okozzák, és ezáltal a támadó hozzáférhet a meghívó program memóriájához.

Egyéb technikai kérdéseidet a Stack Overflow webhelyen, az „android-security” címke használatával teheted fel. Kérjük, vedd figyelembe, hogy a Play irányelveivel kapcsolatos kérdéseket nem a Stack Overflow webhelyen kell feltenni.

Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely a libjpeg-turbo könyvtárat használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a Tartalmi irányelvekben foglalt rendelkezéseknek. Ha úgy véled, tévedésből kaptad ezt a figyelmeztetést, akkor a Google Play fejlesztői súgón keresztül veheted fel a kapcsolatot az irányelvekkel foglalkozó ügyfélszolgálati csapatunkkal.