Deze informatie is bedoeld voor ontwikkelaars van apps die een eerdere versie van de Libjpeg-turbo-bibliotheek dan 1.4.2 gebruiken. Door apps met dergelijke beveiligingsproblemen kunnen gebruikers worden blootgesteld aan hackers. Deze apps kunnen daarom worden beschouwd als in strijd met ons beleid ten aanzien van schadelijk gedrag.
Migreer uw apps zo snel mogelijk naar libjpeg-turbo versie 1.4.2 of hoger en verhoog het versienummer van de geüpgradede APK. Vanaf 17 september 2016 blokkeert Google Play de publicatie van nieuwe apps of updates die eerdere versies van libjpeg-turbo gebruiken dan 1.4.2. Dit is niet van invloed op uw gepubliceerde app-versie, maar updates voor de app worden geblokkeerd tenzij dit beveiligingsprobleem wordt verholpen.
Volgende stappen
- Download de nieuwste versie van libjpeg-turbo.
- Log in bij uw Developer Console en dien de geüpdatete versie van uw app in.
- Kom na vijf uur terug. Er wordt een waarschuwing weergegeven als de app niet correct is geüpdatet. Er kunnen vertragingen bij de verwerking optreden, zelfs als het beveiligingsprobleem in uw app is opgelost.
Als u een bibliotheek van derden gebruikt die libjpeg-turbo bevat, moet u upgraden naar een versie met libjpeg-turbo 1.4.2 of hoger.
Het beveiligingsprobleem bevindt zich in de Huffman-decoder die onderdeel is van de libjpeg-turbo-decompressor. Een hacker kan misbruik maken van dit probleem door een kunstmatige JPEG-afbeelding te maken met Huffman-blokkeringen die groter zijn dan 430 bytes. Een dergelijk bestand veroorzaakt een overschrijding van de invoerbuffer en de hacker kan toegang krijgen tot het geheugen van het programma dat wordt aangeroepen.
Voor andere technische vragen kunt u een bericht plaatsen op Stack Overflow en gebruikt u hierbij de tag 'android-security'. Met vragen over het Play-beleid kunt u niet op Stack Overflow terecht.
Hoewel deze specifieke problemen mogelijk niet van invloed zijn op elke app waarvoor libjpeg-turbo wordt gebruikt, is het goed om altijd de nieuwste beveiligingspatches te implementeren. Apps moeten ook voldoen aan de Distributieovereenkomst voor ontwikkelaars en het Inhoudsbeleid. Als u denkt dat wij deze waarschuwing over een beveiligingsprobleem in uw app ten onrechte hebben ontvangen, kunt u contact opnemen met ons beleidsondersteuningsteam via het Helpcentrum voor Google Play-ontwikkelaars.