Информацията по-долу е предназначена за програмисти на приложения, които използват версии на библиотеката libpng, съдържащи уязвимост в сигурността, разкрита в CVE-2015-8540. Приложенията с такива уязвимости могат да изложат потребителите на риск от компрометиране и може да бъдат сметнати за продукти в нарушение на правилата ни за злонамереното поведение. Моля, възможно най-скоро променете приложението или съответно приложенията си, така че да използват libpng 1.0.66, 1.2.56, 1.4.19, 1.5.26 или по-нова версия, и увеличете номера на версията на надстроения APK файл.
Какво се случва
От 17 септември 2016 г. Google Play започна да блокира публикуването на нови приложения и актуализации, в които се използват уязвими версии на libpng. Моля, вижте известието в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите кои приложения са засегнати и крайните срокове за решаване на тези проблеми.
- Актуализирайте засегнатите приложения и отстранете уязвимостта.
- Изпратете актуализираните версии на засегнатите приложения.
При повторно изпращане приложението ви ще бъде прегледано отново. Този процес може да отнеме няколко часа. Ако приложението премине проверката и бъде публикувано успешно, няма нужда да правите нищо повече. В противен случай новата му версия няма да бъде публикувана и ще получите известие по имейл.
Допълнителни подробности
Уязвимостта произтича от неотговарящ на стандартите достъп до паметта, който потенциално може да доведе до изпълнението на код. Засегнати са версиите 1.0.x, по-стари от 1.0.66; 1.1.x и 1.2.x, по-стари от 1.2.56; 1.3.x и 1.4.x, по-стари от 1.4.19; и 1.5.x, по-стари от 1.5.26.
Можете да прочетете повече за уязвимостта в CVE-2015-8540.
Макар че е възможно тези конкретни проблеми да не засягат всяко приложение, в което се използва libpng, най-добре е да имате всички актуални корекции за сигурност. Приложенията също така трябва да спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.