Ove su informacije namijenjene razvojnim programerima aplikacija koje koriste bilo koju verziju biblioteke libpng koja sadrži sigurnosnu ranjivost otkrivenu u CVE-2015-8540. Aplikacije s takvim ranjivostima mogu ugroziti sigurnost korisnika i mogu se smatrati kršenjem pravila o zlonamjernom ponašanju.Što prije preselite svoje aplikacije na libpng 1.0.66, 1.2.56, 1.4.19, 1.5.26 ili novije verzije i povećajte broj verzije nadograđenog APK-a.
Što se događa
Od 17. rujna 2016. Google Play počeo je blokirati objavljivanje svih novih aplikacija ili ažuriranja koja koriste ranjive verzije libpng-a. Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli mogu se ukloniti s Google Playa.
Potrebna je radnja
- Prijavite se na Play konzolu i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i uklonite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
Ranjivost proizlazi iz nedopuštenog pristupa memoriji koji može dovesti do izvršavanja koda. Pogođene su verzije 1.0.x starije od 1.0.66, 1.1.x i 1.2.x starije od 1.2.56, 1.3.x i 1.4.x starije od 1.4.19 te 1.5.x starije od 1.5.26.
Više o toj ranjivosti možete pročitati u CVE-2015-8540.
Iako te poteškoće ne moraju utjecati na sve aplikacije koje upotrebljavaju libpng, najbolje je ažurirati sve sigurnosne zakrpe. Aplikacije moraju biti u skladu i s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.