Como corrigir apps com vulnerabilidade do Libjpeg-turbo

Estas informações são destinadas aos desenvolvedores de apps que usam versões anteriores à 1.4.2 da biblioteca do Libjpeg-turbo. Apps com vulnerabilidades como essa expõem os usuários a risco de comprometimento e podem ser considerados produtos que violam nossa política de Comportamento malicioso.

Assim que possível, migre seus apps para o libjpeg-turbo v1.4.2 ou superior e aumente o número da versão do APK atualizado. A partir de 17 de setembro de 2016, o Google Play bloqueará a publicação de novos apps ou de atualizações que usam versões do libjpeg-turbo anteriores à 1.4.2. Isso não afeta a versão publicada do app, mas as atualizações dele serão bloqueadas a menos que você corrija essa vulnerabilidade.

Próximas etapas

  1. Faça o download da versão mais recente do libjpeg-turbo.
  2. Faça login no Developer Console e envie a versão atualizada do app.
  3. Volte depois de cinco horas. Você verá uma mensagem de aviso se o app não tiver sido atualizado corretamente. Alguns atrasos de processamento são comuns mesmo se a vulnerabilidade do seu app tiver sido corrigida.

Como alternativa, se você usar uma biblioteca de terceiros que inclui o libjpeg_turbo, será necessário fazer o upgrade dela para uma versão que inclua o libjpeg-turbo v1.4.2 ou superior.

A vulnerabilidade está no decodificador Huffman que faz parte do descompactador do libjpeg-turbo. Um invasor pode explorar essa vulnerabilidade criando uma imagem JPEG artificial com bloqueios do Huffman maiores que 430 bytes. Esse arquivo causará uma saturação do buffer de entrada, e o invasor poderá acessar o heap de memória do programa de chamada.

Para outras dúvidas técnicas, poste no Stack Overflow (site em inglês) e use a tag "android-security". Perguntas sobre a política do Google Play não devem ser postadas no site "Stack Overflow".

Ainda que esses problemas específicos não afetem todos os apps que usam o libjpeg-turbo, recomendamos manter todos os patches de segurança atualizados. Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e com a política de conteúdo. Caso você acredite que tenha recebido este aviso por engano, entre em contato com nossa equipe de suporte a políticas por meio da Central de Ajuda do Google Play Developer Console (não disponível em português).

Isso foi útil?
Como podemos melhorá-lo?