Queste informazioni sono rivolte agli sviluppatori di app che utilizzano qualsiasi versione della libreria Libjpeg-turbo precedente alla 1.4.2. Le app con vulnerabilità simili potrebbero mettere a rischio la sicurezza degli utenti ed essere considerate in violazione delle nostre norme relative al comportamento dannoso.
Esegui appena possibile la migrazione delle tue app alle versioni libjpeg-turbo 1.4.2 o successive e incrementa il numero di versione dell'APK aggiornato. A partire dal 17 settembre 2016, Google Play impedirà la pubblicazione di nuove app o aggiornamenti che utilizzano versioni di libjpeg-turbo precedenti alla 1.4.2. La versione pubblicata dell'app rimarrà invariata, ma gli eventuali aggiornamenti verranno bloccati finché non risolverai questa vulnerabilità.
Passaggi successivi
- Scarica l'ultima versione di libjpeg-turbo.
- Accedi alla Developer Console e invia la versione aggiornata dell'app.
- Ricontrolla dopo cinque ore. Se l'app non è stata aggiornata correttamente troverai un messaggio di avviso. Tieni presente che i ritardi nell'elaborazione sono frequenti, anche se la tua app non presenta più la vulnerabilità.
In alternativa, se utilizzi una libreria di terze parti che comprende libjpeg_turbo, dovrai eseguire l'upgrade a una versione contenente libjpeg_turbo 1.4.2 o versioni successive.
La vulnerabilità risiede nel decoder Huffman che fa parte del decompressore libjpeg-turbo. Un malintenzionato potrebbe sfruttare la vulnerabilità creando un'immagine JPEG artificiale con blocchi di Huffman più grandi di 430 byte. Tale file causerà un sovraccarico nel buffer di input e l'autore dell'attacco potrebbe riuscire in questo modo ad accedere all'heap di memoria del programma che ha effettuato la chiamata.
Puoi pubblicare altre domande tecniche su Stack Overflow utilizzando i tag "android-security". Ti invitiamo a non pubblicare domande relative alle norme di Play su Stack Overflow.
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza libjpeg-turbo, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app devono inoltre essere conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti. Se ritieni di avere ricevuto per errore questo avviso sulla vulnerabilità, contatta il nostro team di assistenza per le norme tramite il Centro assistenza per gli sviluppatori di Google Play.