Как устранить уязвимость libjpeg-turbo в приложении

Эта статья предназначена для разработчиков приложений, в которых используются более ранние версии libjpeg-turbo, чем 1.4.2. Такие приложения содержат опасные для пользователей уязвимости и могут расцениваться как вредоносные.

Рекомендуем как можно скорее перейти на libjpeg-turbo версии 1.4.2 или более поздней и обновить номер версии APK-файла. Начиная с 17 сентября 2016 года мы будем блокировать публикацию приложений, использующих более ранние версии libjpeg-turbo. Это не коснется уже опубликованных приложений, но их обновления будут блокироваться до устранения уязвимости.

Дальнейшие действия

  1. Скачайте последнюю версию libjpeg-turbo.
  2. Войдите в Developer Console и загрузите обновленную версию приложения.
  3. Вернитесь через пять часов. Если предупреждение не исчезло, значит обновление было сделано неправильно. Обратите внимание, что иногда обработка занимает больше времени (даже если уязвимости устранены).

Если вы используете библиотеку стороннего разработчика, которая включает libjpeg-turbo, обновите ее до версии с libjpeg-turbo 1.4.2 или выше.

Уязвимость содержится в декодере Хаффмана, который является частью распаковщика libjpeg-turbo. Злоумышленник может воспользоваться ею, чтобы создать JPEG-изображение с блоками Хаффмана размером более 430 байт. Это приведет к переполнению входного буфера, и злоумышленник сможет получить доступ к памяти вызывающей программы.

Если у вас есть вопросы, вы можете задать их на сайте Stack Overflow (используйте тег android-security). Обратите внимание, что вопросы о правилах Google Play там задавать не следует.

Описанная выше уязвимость есть не во всех приложениях, где применяется libjpeg-turbo. Однако рекомендуется использовать последнюю версию этой библиотеки, в которой учтены все требования к безопасности. Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента. Если вы считаете, что получили это письмо по ошибке, обратитесь в службу поддержки разработчиков Google Play.

Эта информация оказалась полезной?
Как можно улучшить эту статью?