Aceste informații sunt destinate dezvoltatorilor de aplicații care folosesc versiuni ale bibliotecii Libjepg-turbo anterioare versiunii 1.4.2. Aplicațiile cu astfel de vulnerabilități pot expune utilizatorii riscului de compromitere a securității și este posibil să fie considerate neconforme cu politica privind Comportamentul rău-intenționat.
Migrați aplicațiile la libjpeg-turbo v1.4.2 sau la o versiune ulterioară cât mai curând și incrementați numărul versiunii pentru APK-ul căruia i s-a făcut upgrade. Începând cu 17 septembrie 2016, Google Play va bloca publicarea aplicațiilor noi și a actualizărilor care folosesc versiuni libjpeg-turbo anterioare versiunii 1.4.2. Versiunea publicată a aplicației nu va fi afectată, însă orice actualizare a aplicației va fi blocată dacă nu remediați această vulnerabilitate.
Pașii următori
- Descărcați cea mai recentă versiune libjpeg-turbo.
- Conectați-vă la Developer Console și trimiteți versiunea actualizată a aplicației.
- Reveniți după cinci ore – vom afișa un avertisment dacă aplicația nu a fost actualizată corect. Rețineți că unele întârzieri de procesare sunt frecvente chiar dacă aplicația dvs. a remediat vulnerabilitatea.
Sau, dacă folosiți o bibliotecă terță parte care include libjpeg_turbo, va trebui să faceți upgrade la o versiune care include libjpeg-turbo v1.4.2 sau o versiune ulterioară.
Vulnerabilitatea este în decodorul Huffman care face parte din decompresorul libjpeg-turbo. Un atacator poate să exploateze această vulnerabilitate creând o imagine JPEG artificială cu blocuri Huffman mai mari de 430 de byți. Un astfel de fișier va provoca o depășire a zonei-tampon de intrare și atacatorul poate obține acces la memoria heap a programului apelant.
Pentru alte întrebări tehnice, puteți să postați pe Stack Overflow și să folosiți etichetele „android-security”. Rețineți că întrebările despre politica Google Play nu ar trebui postate pe Stack Overflow.
Deși este posibil ca aceste probleme să nu afecteze fiecare aplicație care folosește libjpeg-turbo, este de preferat să actualizați cu toate corecțiile de securitate. Aplicațiile trebuie să respecte Acordul de distribuire pentru dezvoltatori și Politica de conținut. În cazul în care considerați că ați primit acest avertisment privind vulnerabilitatea ca urmare a unei erori, contactați echipa noastră de asistență în privința politicilor prin Centrul de ajutor pentru dezvoltatori Google Play.