Zawarte tu informacje są przeznaczone dla deweloperów, których aplikacje korzystają z biblioteki libpng w wersji zawierającej lukę w zabezpieczeniach ujawnioną w dokumencie CVE-2015-8540. Aplikacje z takimi lukami mogą narażać użytkowników na niebezpieczeństwo, dlatego możemy uznać je za niezgodne z zasadami dotyczącymi złośliwego zachowania.Jak najszybciej przeprowadź migrację aplikacji do libpng w wersji 1.0.66, 1.2.56, 1.4.19, 1.5.26 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.
O co chodzi?
Od 17 września 2016 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających z biblioteki libpng w wersji zawierającej lukę w zabezpieczeniach. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Luka w zabezpieczeniach polega na dostępie do pamięci spoza zakresu, co może prowadzić do wykonania kodu. Występuje ona w wersjach 1.0.x przed 1.0.66, 1.1.x i 1.2.x przed 1.2.56, 1.3.x i 1.4.x przed 1.4.19 oraz 1.5.x przed 1.5.26.
Więcej informacji na jej temat znajdziesz w dokumencie CVE-2015-8540.
Te problemy nie muszą pojawić się w każdej aplikacji używającej libpng, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje muszą być też zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności niezbędnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.