Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa käytettävä libpng-kirjaston versio sisältää CVE-2015-8540-sivulla kuvatun haavoittuvuuden. Jos sovelluksessa on tällaisia käyttäjille mahdollisesti haitallisia haavoittuvuuksia, sen voidaan katsoa rikkovan haitallista toimintaa koskevaa käytäntöämme.Päivitä sovelluksesi libpng versioon 1.0.66, 1.2.56, 1.4.19, 1.5.26 tai uudempaan mahdollisimman pian ja muokkaa päivitetyn APK:n versionumeroa.
Mistä on kyse?
Google Play alkoi 17.9.2016 estää kaikkien sellaisten sovellusten tai päivitysten julkaisun, jotka käyttävät haavoittuvuuden sisältävää libpng-versiota. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset poistetaan Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Tämän haavoittuvuuden syynä on mahdollisuus ylittää muistin käytön rajoitus, mitä voidaan käyttää koodin suorittamiseen. Haavoittuvuus koskee versiota 1.0.66 vanhempia 1.0.x-julkaisuja, versiota 1.2.56 vanhempia 1.1.x- ja 1.2.x-julkaisuja, versiota 1.4.19 vanhempia 1.3.x- ja 1.4.x-julkaisuja sekä versiota 1.5.26 vanhempia 1.5.x-julkaisuja.
Voit lukea lisätietoja haavoittuvuudesta täällä: CVE-2015-8540.
Vaikka nämä ongelmat eivät välttämättä koske kaikkia libpng:tä käyttäviä sovelluksia, suosittelemme kaikkien tietosuojakorjauksien käyttöönottoa. Sovellusten täytyy noudattaa myös kehittäjien jakelusopimusta ja sisältökäytäntöä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.