วิธีแก้ไขแอปที่มีช่องโหว่ของ Libjpeg-turbo

ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่ใช้ไลบรารี Libjepg-turbo เวอร์ชันใดที่เก่ากว่า 1.4.2 แอปที่มีช่องโหว่เช่นนี้อาจทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีและอาจได้รับการพิจารณาว่าละเมิดนโยบายพฤติกรรมที่เป็นอันตรายของเรา

โปรดย้ายแอปของคุณไปใช้ libjpeg-turbo เวอร์ชัน 1.4.2 ขึ้นไปโดยเร็วที่สุดและเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรดแล้ว เริ่มตั้งแต่วันที่ 17 กันยายน 2016 Google Play จะบล็อกการเผยแพร่แอปใหม่ๆ หรือการอัปเดตแอปทั้งหมดที่ใช้ libjpeg-turbo เวอร์ชันเก่ากว่า 1.4.2 เวอร์ชันแอปที่คุณเผยแพร่ไปแล้วจะไม่ได้รับผลกระทบ แต่การอัปเดตใดๆ ในแอปจะถูกบล็อกจนกว่าคุณจะแก้ไขช่องโหว่นี้

ขั้นตอนต่อไปมีดังนี้

  1. ดาวน์โหลด libjpeg-turbo เวอร์ชันล่าสุด
  2. ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้วของคุณ
  3. กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง โปรดทราบว่าการดำเนินการบางส่วนอาจล่าช้าเป็นปกติ แม้ว่าแอปของคุณได้รับการแก้ไขช่องโหว่ดังกล่าวแล้ว

อีกวิธีหนึ่งคือ หากคุณใช้ไลบรารีของบุคคลที่สามที่มากับ libjpeg_turbo คุณจะต้องอัปเกรดเป็นเวอร์ชันที่มากับ libjpeg-turbo เวอร์ชัน 1.4.2 ขึ้นไป

ช่องโหว่นี้อยู่ในการถอดรหัส Huffman ที่เป็นส่วนหนึ่งของการขยายการบีบอัด libjpeg-turbo ผู้โจมตีอาจจะใช้ประโยชน์จากช่องโหว่นี้โดยการสร้างภาพ JPEG เทียมที่มีบล็อก Huffman ขนาดใหญ่กว่า 430 ไบต์ ไฟล์ดังกล่าวจะทำให้เกิดบัฟเฟอร์การป้อนข้อมูลมากเกินไปและผู้โจมตีสามารถเข้าถึงหน่วยความจำของโปรแกรมที่เรียก

หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow

แม้ว่าปัญหาเฉพาะเหล่านี้อาจไม่ส่งผลกระทบกับทุกแอปที่ใช้ libjpeg-turbo แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ นอกจากนี้ แอปต้องเป็นไปตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร