Эта информация предназначена для разработчиков, в чьих приложениях используется библиотека libpng. В некоторых ее версиях обнаружена опасная для пользователей уязвимость (идентификатор CVE-2015-8540), поэтому приложения с этой библиотекой могут расцениваться как вредоносные. Как можно скорее перейдите на libpng версии 1.0.66, 1.2.56, 1.4.19, 1.5.26 или выше и обновите номера версий APK-файлов.
Общая информация
С 17 сентября 2016 года в Google Play нельзя публиковать приложения, использующие уязвимые версии libpng. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимости, могут быть удалены из Google Play.
Необходимые действия
- Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
- Обновите приложения и устраните уязвимость.
- Опубликуйте обновленные версии приложений.
После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.
Сведения об уязвимости
Уязвимость связана с переполнением буфера и может привести к выполнению вредоносного кода. Проблема обнаружена в следующих версиях библиотеки: 1.0.x ранее 1.0.66, 1.1.x и 1.2.x ранее 1.2.56, 1.3.x и 1.4.x ранее 1.4.19, а также 1.5.x ранее 1.5.26.
Подробнее об уязвимости CVE-2015-8540…
Хотя описанная выше уязвимость может затрагивать не все приложения с библиотекой libpng, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента.
Мы всегда рады помочь!
Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.