ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่ใช้ไลบรารี Libjepg-turbo เวอร์ชันใดที่เก่ากว่า 1.4.2 แอปที่มีช่องโหว่เช่นนี้อาจทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีและอาจได้รับการพิจารณาว่าละเมิดนโยบายพฤติกรรมที่เป็นอันตรายของเรา
โปรดย้ายแอปของคุณไปใช้ libjpeg-turbo เวอร์ชัน 1.4.2 ขึ้นไปโดยเร็วที่สุดและเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรดแล้ว เริ่มตั้งแต่วันที่ 17 กันยายน 2016 Google Play จะบล็อกการเผยแพร่แอปใหม่ๆ หรือการอัปเดตแอปทั้งหมดที่ใช้ libjpeg-turbo เวอร์ชันเก่ากว่า 1.4.2 เวอร์ชันแอปที่คุณเผยแพร่ไปแล้วจะไม่ได้รับผลกระทบ แต่การอัปเดตใดๆ ในแอปจะถูกบล็อกจนกว่าคุณจะแก้ไขช่องโหว่นี้
ขั้นตอนต่อไปมีดังนี้
- ดาวน์โหลด libjpeg-turbo เวอร์ชันล่าสุด
- ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้วของคุณ
- กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง โปรดทราบว่าการดำเนินการบางส่วนอาจล่าช้าเป็นปกติ แม้ว่าแอปของคุณได้รับการแก้ไขช่องโหว่ดังกล่าวแล้ว
อีกวิธีหนึ่งคือ หากคุณใช้ไลบรารีของบุคคลที่สามที่มากับ libjpeg_turbo คุณจะต้องอัปเกรดเป็นเวอร์ชันที่มากับ libjpeg-turbo เวอร์ชัน 1.4.2 ขึ้นไป
ช่องโหว่นี้อยู่ในการถอดรหัส Huffman ที่เป็นส่วนหนึ่งของการขยายการบีบอัด libjpeg-turbo ผู้โจมตีอาจจะใช้ประโยชน์จากช่องโหว่นี้โดยการสร้างภาพ JPEG เทียมที่มีบล็อก Huffman ขนาดใหญ่กว่า 430 ไบต์ ไฟล์ดังกล่าวจะทำให้เกิดบัฟเฟอร์การป้อนข้อมูลมากเกินไปและผู้โจมตีสามารถเข้าถึงหน่วยความจำของโปรแกรมที่เรียก
หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow
แม้ว่าปัญหาเฉพาะเหล่านี้อาจไม่ส่งผลกระทบกับทุกแอปที่ใช้ libjpeg-turbo แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ นอกจากนี้ แอปต้องเป็นไปตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play