Ця інформація призначена для розробників додатків, які використовують бібліотеку Libjpeg-turbo версій, старіших за 1.4.2. Такі вразливі додатки можуть загрожувати конфіденційності даних користувачів і порушувати нашу політику щодо шкідливих функцій.
Якнайшвидше перейдіть на Libjpeg-turbo версії 1.4.2 або новішої та змініть номер версії оновлених файлів .apk. Із 17 вересня 2016 року в Google Play не публікуватимуться додатки й оновлення, розроблені за допомогою Libjpeg-turbo версій, старіших за 1.4.2. Це не вплине на опубліковану версію додатка, однак будь-які оновлення блокуватимуться, якщо ви не усунете загрозу безпеці.
Подальші дії
- Завантажте найновішу версію Libjpeg-turbo.
- Увійдіть в обліковий запис Developer Console і надішліть оновлену версію свого додатка.
- Поверніться за п’ять годин. Якщо додаток оновлено неправильно, ви побачите застереження. Зауважте: затримки обробки можуть виникати, навіть якщо ви усунули вразливі елементи в додатку.
Якщо ви користуєтеся сторонньою бібліотекою, у яку входить Libjpeg-turbo, оновіть її до версії, що містить Libjpeg-turbo версії 1.4.2 або новішої.
Уразливий елемент виявлено в декодері Хаффмана, який є частиною декомпресора Libjpeg-turbo. Скориставшись цим уразливим місцем, зловмисник може створити штучне зображення у форматі .jpeg розміром понад 430 байтів за допомогою блокових кодів Хаффмана. Такий файл спричинить переповнення вхідного буфера і зловмисник зможе отримати доступ до пам’яті програми виклику.
Якщо у вас є інші технічні запитання, опублікуйте їх на сторінці Stack Overflow з тегами "android-security". Зверніть увагу, що в цьому розділі не варто публікувати запитання про політику Google Play.
Хоча ці проблеми виникають не в усіх додатках, які використовують Libjpeg-turbo, радимо завжди встановлювати найновіші виправлення системи безпеки. Додатки також мають відповідати положенням Договору розробника про розповсюдження та Політики щодо вмісту. Якщо ви вважаєте, що ми помилково надіслали вам це застереження, зв’яжіться з нашою командою підтримки в Довідковому центрі розробника Google Play.