Tieto informácie sú určené pre vývojárov aplikácií, ktoré využívajú akúkoľvek verziu knižnice Libjepg-turbo predchádzajúcu verzii 1.4.2. Aplikácie s chybami zabezpečenia, ako je táto, môžu vystaviť používateľov riziku napadnutia a môžu byť považované za produkty, ktoré porušujú pravidlá týkajúce sa škodlivého správania.
Migrujte svoje aplikácie čo najskôr na knižnicu libjpeg-turbo verzie 1.4.2 alebo vyššej a zvýšte číslo verzie inovovaného súboru APK. Od 17. septembra 2016 začne služba Google Play blokovať zverejňovanie všetkých nových aplikácií a aktualizácií, ktoré používajú verzie knižnice libjpeg-turbo predchádzajúce verzii 1.4.2. Netýka sa to zverejnenej verzie vašej aplikácie, avšak všetky aktualizácie tejto aplikácie budú blokované, kým túto chybu zabezpečenia nevyriešia.
Ďalšie kroky
- Stiahnite si najnovšiu verziu knižnice libjpeg-turbo.
- Prihláste sa do svojho účtu služby Developer Console a odošlite aktualizovanú verziu aplikácie.
- Vráťte sa späť po piatich hodinách. Ak aplikácia nebola správne aktualizovaná, zobrazí sa upozornenie. Upozorňujeme, že oneskorenia v dôsledku spracovania sú bežné, a to dokonca aj vtedy, keď je vo vašej aplikácii daná chyba zabezpečenia už opravená.
Ak prípadne používate knižnicu tretej strany, ktorá sa dodáva spolu s knižnicou libjpeg_turbo, musíte ju inovovať na verziu, ktorá zahrnuje knižnicu libjpeg_turbo verzie 1.4.2 alebo vyššej.
Chyba zabezpečenia sa nachádza v dekodéri Huffman, ktorý je súčasťou dekompresora knižnice libjpeg-turbo. Útočník môže túto chybu zneužiť vytvorením umelého obrázka JPEG s blokmi Huffman väčšími ako 430 bajtov. Takýto súbor spôsobí pretečenie vstupnej vyrovnávacej pamäte a umožní útočníkovi získať prístup k hromadnej pamäti volajúceho programu.
V prípade iných technických otázok môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku „android-security“. Upozorňujeme, že v službe Stack Overflow by ste nemali zverejňovať otázky týkajúce sa pravidiel služby Play.
Tieto konkrétne problémy nemusia síce ovplyvňovať každú aplikáciu využívajúcu knižnicu libjpeg-turbo, radšej však vždy používajte všetky aktuálne opravy zabezpečenia. Aplikácie tiež musia byť v súlade s distribučnou zmluvou pre vývojárov a pravidlami pre obsah. Ak sa domnievate, že sme toto upozornenie dostali omylom, kontaktujte náš tím podpory pre pravidlá prostredníctvom Centra pomoci pre vývojárov Google Play.