Te informacije so namenjene razvijalcem aplikacij, ki uporabljajo katero koli različico knjižnice libpng, ki vsebuje varnostno ranljivost, razkrito z identifikatorjem CVE-2015-8540. Aplikacije s takšnimi ranljivostmi lahko uporabnike izpostavijo nevarnosti napada in jih bomo morda obravnavali, kot da kršijo pravilnik o zlonamernem vedenjuV aplikacijah čim prej začnite uporabljati različico knjižnice libpng 1.0.66, 1.2.56, 1.4.19, 1.5.26 ali novejšo in povečajte številko različice nadgrajenega APK-ja.
Kaj se dogaja?
Google Play je 17. septembra 2016 začel blokirati objavo vseh novih aplikacij ali posodobitev, ki uporabljajo ranljive različice knjižnice libpng. Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
Ranljivost izvira iz nedovoljenega dostopa do pomnilnika, ki bi potencialno lahko privedel do izvedbe kode. Ranljivost zadeva različice 1.0.x pred različico 1.0.66, različice 1.1.x in 1.2.x pred različico 1.2.56, različice 1.3.x in 1.4.x pred različico 1.4.19 ter različice 1.5.x pred različico 1.5.26.
Več o ranljivosti lahko preberete v identifikatorju CVE-2015-8540.
Te težave morda ne bodo vplivale na vse aplikacije, ki uporabljajo knjižnico libpng, vendar vseeno priporočamo, da imate vedno nameščene vse varnostne popravke. Aplikacije morajo biti skladne tudi s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.