本文面向的是发布的应用存在以下情况的开发者:使用的 libpng 库版本包含已在 CVE-2015-8540 中披露的安全漏洞。如果应用包含这种漏洞,则会让用户面临入侵风险,并可能会被视为违反恶意行为政策。请尽快将您的应用迁移到 libpng v1.0.66、v.1.2.56、v.1.4.19、v1.5.26 或更高版本,并增加升级版 APK 的版本号。
问题说明
从 2016 年 9 月 17 日起,Google Play 开始禁止发布任何使用存在漏洞的 libpng 版本的新应用或应用更新。请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 更新受影响的应用并修复该漏洞。
- 提交受影响应用的更新版本。
重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。
更多详细信息
这种漏洞是由越界内存存取造成的,可能会导致代码执行漏洞。以下是会受影响的版本:1.0.x 版(1.0.66 之前版本)、1.1x 版和 1.2.x 版(1.2.56 之前版本)、1.3.x 版和 1.4.x 版(1.4.19 之前版本)以及 1.5.x 版(1.5.26 之前版本)。
如需详细了解该漏洞,请参阅 CVE-2015-8540。
尽管这些具体问题并非一定会影响使用 libpng 的所有应用,但我们仍建议您安装所有最新的安全补丁。此外,应用还必须遵守开发者分发协议和内容政策。
我们随时为您提供帮助
如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。