Die folgenden Informationen richten sich an Entwickler von Apps, die eine beliebige Version der libpng-Bibliothek nutzen und eine Sicherheitslücke enthalten, welche in CVE-2015-8540 mitgeteilt wurde. Apps mit Sicherheitslücken wie dieser, durch die Nutzer zu Schaden kommen können, werden unter Umständen als Verstoß gegen unsere Richtlinien zu böswilligem Verhalten eingestuft.Migrieren Sie daher Ihre App(s) so bald wie möglich auf libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APKs.
Allgemeine Informationen
Seit dem 17. September 2016 blockiert Google Play die Veröffentlichung sämtlicher neuer Apps und Updates, bei denen angreifbare Versionen von libpng verwendet werden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Die Sicherheitslücke beruht auf einem Speicherzugriff außerhalb des gültigen Bereichs, der gegebenenfalls zur Ausführung von Code führen könnte. Hiervon sind die Versionen 1.0.x vor 1.0.66, 1.1.x und 1.2.x vor 1.2.56, 1.3.x sowie 1.4.x vor 1.4.19 und 1.5.x vor 1.5.26 betroffen.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in CVE-2015-8540.
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen libpng verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps müssen auch der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.