Zawarte tu informacje są przeznaczone dla programistów aplikacji, które korzystają z biblioteki libjepg-turbo w wersji starszej niż 1.4.2. Aplikacje z takimi lukami mogą narażać użytkowników na niebezpieczeństwo, dlatego możemy uznać je za niezgodne z zasadami dotyczącymi złośliwego zachowania.
Jak najszybciej uaktualnij swoje aplikacje do libjpeg-turbo w wersji 1.4.2 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK. Od 17 września 2016 r. Google Play będzie blokować publikowanie nowych aplikacji i aktualizacji korzystających z wersji libjpeg-turbo starszych niż 1.4.2. Nie wpłynie to na opublikowaną wersję aplikacji, ale wszystkie jej aktualizacje będą blokowane do czasu rozwiązania problemu z luką w zabezpieczeniach.
Kolejne kroki
- Pobierz najnowszą wersję libjpeg-turbo.
- Zaloguj się w Developer Console i prześlij zaktualizowaną wersję aplikacji.
- Sprawdź za pięć godzin. Jeśli aplikacji nie udało się zaktualizować, zobaczysz ostrzeżenie. Nawet jeśli aplikacja nie ma już luki w zabezpieczeniach, jej przetwarzanie często może się opóźnić.
Jeśli używasz biblioteki zewnętrznej, która zawiera libjpeg-turbo w pakiecie, musisz uaktualnić ją do wersji obejmującej libjpeg-turbo w wersji 1.4.2 lub nowszej.
Luka w zabezpieczeniach znajduje się w dekoderze Huffmana będącym elementem dekompresora libjpeg-turbo. Atakujący może ją wykorzystać, tworząc sztuczny obraz JPEG z blokami Huffmana większymi niż 430 bajtów. Taki plik może spowodować przepełnienie bufora wejściowego, dzięki czemu atakujący uzyska dostęp do stosu pamięci programu wywołującego.
Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagu „android-security”. Pamiętaj, że na stronie Stack Overflow nie należy publikować pytań na temat zasad obowiązujących w Google Play.
Te problemy nie muszą pojawić się w każdej aplikacji używającej libjpeg-turbo, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje muszą być też zgodne z Umową dystrybucyjną dla programistów i Polityką treści. Jeśli Twoim zdaniem wysłaliśmy to ostrzeżenie o luce w zabezpieczeniach przez pomyłkę, skontaktuj się z naszym zespołem pomocy ds. zasad, korzystając z Centrum pomocy dla programistów Google Play.