Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurām tiek izmantota bibliotēkas Libjepg-turbo versija, kas ir vecāka par versiju 1.4.2. Var tikt uzskatīts, ka ar tādām lietotnēm, kuru ievainojamība pakļauj lietotājus riskam, tiek pārkāpta mūsu politika par ļaunprātīgu rīcību.
Lūdzu, pēc iespējas ātrāk migrējiet savu(-as) lietotni(-es) uz libjpeg-turbo versiju v1.4.2 vai jaunāku versiju un palieliniet jauninātās APK pakotnes versijas numuru. Sākot no 2016. gada 17. septembra, pakalpojumā Google Play tiks liegta jebkuru jaunu lietotņu un atjauninājumu publicēšana, kuriem tiek izmantota libjpeg-turbo versija, kas ir vecāka par versiju 1.4.2. Jūsu publicētā lietotnes versija netiks ietekmēta, taču jebkuri lietotnes atjauninājumi tiks bloķēti, ja nenovērsīsiet šo ievainojamību.
Nākamās darbības
- Lejupielādējiet jaunāko libjpeg-turbo versiju.
- Pierakstieties savā Developer Console kontā un iesniedziet lietotnes atjaunināto versiju.
- Pārbaudiet to pēc piecām stundām. Ja lietotne nebūs pareizi jaunināta, tiks rādīts brīdinājuma ziņojums. Ņemiet vērā, ka apstrāde var aizkavēties, pat ja ievainojamība jūsu lietotnē ir novērsta.
Ja izmantojat trešās puses bibliotēku, kas ietver libjpeg_turbo, jums tā būs jājaunina uz versiju, kas ietver libjpeg_turbo versiju v1.4.2 vai jaunāku versiju.
Ievainojamība ir Huffman dekodētājā, kas ir daļa no libjpeg-turbo dekompresora. Uzbrucēji var izmantot šo ievainojamību, izveidojot mākslīgu JPEG attēlu ar Huffman blokiem, kuri ir lielāki par 430 baitiem. Šāds fails izraisīs ievades bufera pārtēriņu, un ļaunprātīgā persona varēs piekļūt izsaucošās programmas atmiņas kaudzei.
Ja jums ir citi tehniski jautājumi, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmes “android-security”. Ņemiet vērā, ka vietnē Stack Overflow nevajadzētu publicēt jautājumus par Play politiku.
Lai gan konkrētās problēmas var neietekmēt visas lietotnes, kurās tiek izmantota bibliotēka libjpeg-turbo, ieteicams lietot visus jaunākos drošības ielāpus. Lietotnēm ir arī jāatbilst izstrādātāja izplatīšanas līgumam un satura politikai. Ja jums šķiet, ka esat saņēmis šo brīdinājumu kļūdas dēļ, sazinieties ar mūsu politiku atbalsta komandu, apmeklējot Google Play izstrādātāju palīdzības centru.