Libjpeg-turbo 취약점이 있는 앱 수정 방법

1.4.2 이전 버전의 Libjepg-turbo 라이브러리를 활용하는 앱의 개발자를 위한 정보입니다. 사용자를 보안 위험에 노출시키는 취약점이 있는 이러한 앱은 Google의 악의적 행위 정책을 위반하는 것으로 간주될 수 있습니다.

가능한 한 빨리 앱을 libjpeg-turbo 버전 1.4.2 이상으로 이전하고 업그레이드된 APK의 버전 번호를 높이시기 바랍니다. 2016년 9월 17일부터 Google Play에서는 libjpeg-turbo 1.4.2 이전 버전을 사용하는 새 앱과 업데이트의 게시를 차단할 예정입니다. 게시된 앱 버전은 영향을 받지 않지만 이 취약점을 해결하기 전까지는 모든 앱 업데이트가 차단됩니다.

다음 단계

  1. 최신 버전의 libjpeg-turbo를 다운로드합니다.
  2. Developer Console에 로그인하고 업데이트된 버전의 앱을 제출합니다.
  3. 5시간이 지난 뒤 다시 확인하세요. 앱이 제대로 업데이트되지 않은 경우 경고 메시지가 표시됩니다. 앱 취약점을 해결했다고 하더라도 처리 과정에서 지연이 발생하는 경우가 많다는 점에 유의하세요.

libjpeg_turbo를 번들로 제공하는 타사 라이브러리를 사용 중인 경우 libjpeg-turbo 1.4.2 이상을 번들로 제공하는 버전으로 업그레이드해야 합니다.

이 취약점은 libjpeg-turbo 디컴프레서에 포함된 Huffman 디코더에 위치합니다. 공격자가 430바이트 이상의 Huffman 블록을 사용하여 인공 JPEG 이미지를 만듦으로써 이 취약점을 악용할 수 있습니다. 이러한 파일은 입력 버퍼 오버런을 일으킬 수 있으며 공격자는 호출 프로그램의 메모리 힙에 액세스할 수 있습니다.

다른 기술 관련 질문이 있으면 'android-security' 태그를 추가하여 Stack Overflow에 게시하세요. Play 정책 관련 질문은 Stack Overflow에 게시해서는 안 된다는 점에 유의하세요.

이러한 문제가 libjpeg-turbo를 사용하는 모든 앱에 영향을 주는 것은 아니지만 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다. Google에서 이 취약점 경고를 잘못 발송했다고 생각되면 Google Play 개발자 도움말 센터를 통해 Google 지원팀에 문의하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?