如何修正有 Libjpeg-turbo 安全性漏洞的應用程式

開發人員請注意,如果您的應用程式使用 1.4.2 以下版本的 Libjepg-turbo 程式庫,請詳閱本文資訊。如果應用程式含有這類安全性漏洞,導致使用者的資料有外洩之虞,我們可能會將該應用程式視為違反惡意行為政策。

請儘快將您的應用程式升級至 libjpeg-turbo 1.4.2 以上版本,並為升級的 APK 增加版本號碼。 自 2016 年 9 月 17 日起,只要新的應用程式或更新內容使用了 1.4.2 之前的 Libjpeg-Turbo 版本,一律禁止在 Google Play 發佈。雖然這不會影響您已發佈的應用程式版本,但是在修正這個安全性漏洞前,您將無法為應用程式發佈任何更新。

後續步驟

  1. 下載最新版的 libjpeg-turbo
  2. 登入 Developer Console,提交您的應用程式更新版本。
  3. 5 小時過後再返回查看。如果應用程式未妥善更新,系統就會顯示警告訊息。請注意,即使您的應用程式已修正安全性漏洞,處理程序仍可能有所延遲,此屬正常情況,請耐心等候。

或者,如果您使用的第三方程式庫包含 libjpeg_turbo,請升級至包含 libjpeg-turbo 1.4.2 以上版本的程式庫。

這個安全性漏洞存在於霍夫曼解碼器 (屬於 libjpeg-turbo 解壓縮工具的一部分)。攻擊者可利用這個漏洞,透過霍夫曼解碼器建立假造的 JPEG 圖片,封鎖大於 430 位元組的項目。這樣的檔案會造成輸入緩衝區溢出,讓攻擊者得以存取呼叫程式的記憶體堆積。

如有其他技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。提醒您,請勿在 Stack Overflow 上張貼 Play 政策相關問題。

雖然這些特定問題不一定會對所有使用 libjpeg-turbo 的應用程式造成影響,我們仍建議您安裝所有最新的安全性修補程式。此外,應用程式也必須遵循《開發人員發佈協議》和《內容政策》。如果您認為我們不應收到這則安全性漏洞警告訊息,請透過 Google Play 開發人員說明中心與我們的政策支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?