Denne informasjonen er beregnet på utviklere av apper som bruker en tidligere versjon av Libjepg-turbo-biblioteket enn 1.4.2. Apper med slike svakheter kan utsette brukerne for sikkerhetsrisiko, og de kan være i strid med retningslinjene våre for ondsinnet atferd.
Overfør appene dine til libjpeg-turbo v1.4.2 eller høyere så snart som mulig, og øk versjonsnummeret for den oppgraderte APK-en. Fra og med 17. september 2016 kan ikke nye apper eller oppdateringer med versjoner av libjpeg-turbo som er eldre enn 1.4.2, publiseres på Google Play lenger. Den publiserte versjonen av appen din blir ikke berørt, men eventuelle oppdateringer blokkeres, med mindre de ikke er laget for å rette opp i denne svakheten.
Fremgangsmåten videre
- Last ned den nyeste versjonen av libjpeg-turbo.
- Logg på Developer Console og send inn den oppdaterte versjonen av appen din.
- Kom tilbake etter fem timer. Hvis appen ikke er oppdatert riktig, ser du et varsel. Vær oppmerksom på at det er vanlig med en viss behandlingsforsinkelse – selv om du har rettet opp i svakheten.
Hvis du bruker et tredjepartsbibliotek hvor libjpeg-turbo er inkludert, må du oppgradere til en versjon som inneholder libjpeg-turbo v1.4.2 eller høyere.
Svakheten er i Huffman-dekoderen som er en del av libjpeg-turbo-dekompressoren. Angripere kan utnytte denne svakheten ved å lage falske JPEG-bilder med Huffman-blokker som er større enn 430 byte. Slike filer fører til overløp i inndatabufferen, slik at angriperne kan få tilgang til anropsprogrammets minne-heap.
Hvis du har andre tekniske spørsmål, kan du legge dem ut på Stack Overflow med taggen «android-security». Vær oppmerksom på at eventuelle spørsmål om Play-retningslinjene ikke må legges ut på Stack Overflow.
Disse spesifikke problemene gjelder ikke nødvendigvis for alle apper som bruker libjpeg-turbo, men det er likevel best å holde seg oppdatert på alle sikkerhetspatcher (feilrettinger). Apper må også overholde distribusjonsavtalen for utviklere og retningslinjene for innhold. Hvis du mener at vi har mottatt denne svakhetsadvarselen ved en feil, ber vi deg kontakte brukerstøtteteamet for retningslinjer via brukerstøtten for Google Play-utviklere.