Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da biblioteca libpng, que contém uma vulnerabilidade de segurança divulgada no CVE-2015-8540. As aplicações com vulnerabilidades como esta podem expor os utilizadores ao risco de comprometimento e podem ser consideradas infratoras da nossa Política de Comportamento Malicioso.Migre as suas aplicações para a versão v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 ou superior da libpng assim que possível e aumente o número da versão do APK atualizado.
O que está a acontecer
A partir de 17 de setembro de 2016, o Google Play começou a bloquear a publicação de quaisquer novas aplicações ou atualizações que utilizem versões vulneráveis da libpng. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade resulta de um acesso à memória fora dos limites que pode levar à execução de código. São afetadas as seguintes versões: 1.0.x anteriores a 1.0.66, 1.1.x e 1.2.x anteriores a 1.2.56, 1.3.x e 1.4.x anteriores a 1.4.19 e 1.5.x anteriores a 1.5.26.
Pode ler mais acerca da vulnerabilidade no CVE-2015-8540.
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o libpng, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.