Bu bilgi, Libjepg-turbo kitaplığının 1.4.2'den önceki herhangi bir sürümünü kullanan uygulamaların geliştiricileri için hazırlanmıştır. Bunun gibi güvenlik açığı içeren uygulamalar, kullanıcıları güvenlik risklerine maruz bırakabilir ve Kötü Amaçlı Davranış politikamızın ihlali olarak değerlendirilebilir.
Lütfen uygulamalarınızı mümkün olan en kısa zamanda libjpeg-turbo 1.4.2 veya sonraki bir sürümüne taşıyın ve yeni sürüme geçirilen APK'nın sürüm numarasını artırın. Google Play, 17 Eylül 2016'dan itibaren libjpeg-turbo'nun 1.4.2 öncesi sürümlerini kullanan yeni uygulamaların veya güncellemelerin yayınlanmasını engelleyecektir. Yayınlanmış uygulama sürümünüz bu durumdan etkilenmeyecektir. Ancak bu güvenlik açığı düzeltilmediği takdirde uygulamayla ilgili tüm güncellemeler engellenecektir.
Sonraki adımlar
- libjpeg-turbo'nun en yeni sürümünü buradan indirin.
- Developer Console hesabınızda oturum açın ve uygulamanızın güncellenmiş sürümünü gönderin.
- Beş saat sonra tekrar kontrol edin. Uygulama doğru bir şekilde güncellenmemişse bir uyarı iletisi gösterilecektir. Uygulamanız güvenlik açığını düzeltse dahi işlemde gecikmeler yaşanabileceğini unutmayın.
libjpeg_turbo'yu içeren 3. taraf kitaplık kullanıyorsanız kitaplığı libjpeg-turbo'nun 1.4.2 veya sonraki sürümüne sahip bir sürümüne taşımalısınız.
Güvenlik açığı, libjpeg-turbo dekompresörünün parçası olan Huffman kod çözücüsündedir. Bir saldırgan, 430 bayttan büyük Huffman bloklarıyla yapay bir JPEG resmi oluşturarak bu güvenlik açığından yararlanabilir. Böyle bir dosya, giriş arabellek taşmasına neden olur ve saldırgan çağrı yapan programın bellek yığınına erişebilir.
Diğer teknik soruları, "android-security" etiketini kullanarak Stack Overflow sayfasında yayınlayabilirsiniz. Google Play politikasıyla ilgili soruların Stack Overflow sayfasında yayınlanmaması gerektiğini unutmayın.
Bu belirli sorunlar, libjpeg-turbo'u kullanan her uygulamayı etkilemese de, tüm güvenlik yamalarıyla uygulamanın güncel kalmasını sağlamak en iyi yoldur. Uygulamalar ayrıca Geliştirici Dağıtım Sözleşmesi'ne ve İçerik Politikası'na da uygun olmalıdır. Bu güvenlik açığı uyarısını yanlışlıkla aldığımızı düşünüyorsanız Google Play Geliştirici Yardım Merkezi üzerinden politika destek ekibimizle iletişime geçin.