מידע זה מיועד למפתחי אפליקציות שמשתמשים בגרסה כלשהי של libpng המכילה נקודת תורפה באבטחה שנחשפה ב-CVE-2015-8540. אפליקציות המכילות נקודות תורפה כאלה עלולות לחשוף את המשתמשים לסיכון מפני פגיעה ולהיחשב כמפרות את מדיניות ההתנהגות הזדונית.יש להעביר את האפליקציות ל-libpng מגרסה 1.0.66, 1.2.56, 1.4.19, 1.5.26 ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.
מה הלאה?
החל מ-17 בספטמבר 2016, Google החלה לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות עם נקודות תורפה ב-libpng. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה שלא תוקנו יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
נקודת התורפה נובעת מגישות זיכרון עוקפות שעלולות לגרום לביצוע קוד. הגרסאות המושפעות הן: x.1.0 לפני 1.0.66, x.1.1 ו-x.1.2 לפני 1.2.56, x.1.3 ו-x.1.4 לפני 1.4.19 ו- x.1.5 לפני 1.5.26.
למידע נוסף על נקודות התורפה, ניתן לעיין ב-CVE-2015-8540.
אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-libpng, מומלץ להתעדכן בכל תיקוני האבטחה. האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.