Thông tin này dành cho nhà phát triển ứng dụng sử dụng bất kỳ phiên bản nào của thư viện Libjpeg-turbo trước phiên bản 1.4.2. Ứng dụng có lỗ hổng như thế này có thể khiến người dùng có nguy cơ bị xâm phạm và có thể bị xem là vi phạm chính sách về Hành vi nguy hiểm của chúng tôi.
Vui lòng nâng cấp (các) ứng dụng của bạn lên libjpeg-turbo v1.4.2 trở lên sớm nhất có thể và tăng số phiên bản của APK đã nâng cấp. Bắt đầu từ ngày 17 tháng 9 năm 2016, Google Play sẽ chặn xuất bản mọi ứng dụng hoặc bản cập nhật mới sử dụng các phiên bản libjpeg-turbo trước 1.4.2. Phiên bản ứng dụng đã xuất bản của bạn sẽ không bị ảnh hưởng, tuy nhiên bất kỳ cập nhật nào đối với ứng dụng sẽ bị chặn trừ khi bạn xử lý lỗ hổng này.
Các bước tiếp theo
- Tải xuống phiên bản mới nhất của libjpeg-turbo.
- Đăng nhập vào Developer Console và gửi phiên bản cập nhật của ứng dụng của bạn.
- Kiểm tra lại sau năm giờ - chúng tôi sẽ hiển thị thông điệp cảnh báo nếu ứng dụng chưa được cập nhật một cách chính xác. Lưu ý rằng sự trì hoãn trong quá trình xử lý là bình thường ngay cả khi ứng dụng của bạn đã khắc phục lỗ hổng.
Nếu đang sử dụng thư viện của bên thứ ba có bao gồm libjpeg_turbo, bạn cần nâng cấp nó lên phiên bản bao gồm libjpeg-turbo v1.4.2 trở lên.
Lỗ hổng nằm trong bộ giải mã Huffman, là một phần của bộ giải nén libjpeg-turbo. Một kẻ tấn công có thể khai thác lỗ hổng này bằng cách tạo một hình ảnh JPEG nhân tạo với khối Huffman lớn hơn 430 byte. Một tệp như vậy sẽ khiến vượt quá vùng đệm đầu vào và kẻ tấn công có thể dành được quyền truy cập vào bộ nhớ của chương trình gọi.
Đối với các câu hỏi kỹ thuật khác, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Lưu ý rằng bạn không nên đăng câu hỏi về chính sách Play lên Stack Overflow.
Mặc dù các sự cố cụ thể này có thể không ảnh hưởng đến mọi ứng dụng sử dụng libjpeg-turbo nhưng tốt nhất bạn nên luôn cập nhật tất cả các bản vá bảo mật. Ứng dụng cũng phải tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung. Nếu bạn cho rằng chúng tôi đã nhận được cảnh báo về lỗ hổng này do nhầm lẫn, hãy liên hệ với nhóm hỗ trợ chính sách của chúng tôi thông qua Trung tâm trợ giúp dành cho nhà phát triển trên Google Play.