هذه المعلومات موجَّهة لمطوّري التطبيقات الذين يستخدمون أيّ إصدار من مكتبة libpng ويحتوي على ثغرات أمنية تم كشفها في CVE-2015-8540. والتطبيقات التي تتضمن ثغرات أمنية كهذه من الممكن أن تعرض المستخدمين لخطر الاختراق ويمكن اعتبارها انتهاكًا لسياسة السلوك الخطير .يُرجى نقل تطبيقاتك إلى libpng الإصدار v1.0.66 أو v.1.2.56 أو v.1.4.19 أو v1.5.26 أو إصدار أحدث في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها.
تحليل المشكلة
واعتبارًا من 17 أيلول (سبتمبر) 2016، بدأ Google Play حظر نشر أيّ تطبيقات أو تحديثات جديدة تستخدم إصدارات libpng التي تتضمن ثغرات أمنية. يُرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد يتم حذف أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.
الإجراء المطلوب
- سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحلّ هذه المشاكل.
- حدِّث تطبيقاتك المتأثرة بالثغرة الأمنية وأصلِحها.
- أرسِل النسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.
وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. وإذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لا يلزم اتخاذ أيّ إجراء آخر. وإذا تعذّر على التطبيق اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا عبر البريد الإلكتروني.
تفاصيل إضافية
تنشأ الثغرة الأمنية من الوصول إلى الذاكرة من خارج الحدود والذي قد يؤدي إلى تنفيذ رمز معيَّن. تحدث هذه الثغرة مع الإصدارات 1.0.x قبل 1.0.66 و1.1.x و1.2.x قبل 1.2.56 و1.3.x و1.4.x قبل 1.4.19 و1.5.x قبل 1.5.26.
يمكنك التعرُّف على المزيد من المعلومات عن الثغرة الأمنية من خلال CVE-2015-8540.
من الأفضل التحديث دائمًا إلى جميع رموز تصحيحات الأمان، بالرغم من أن هذه المشاكل المحددة ربما لا تؤثر في كل تطبيق يستخدم libpng. يجب أيضًا أن تلتزم التطبيقات باتفاقية توزيع مطوّري البرامج وسياسة المحتوى.
تسرّنا مساعدتك
إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.