Informasi ini ditujukan untuk developer aplikasi yang menggunakan semua versi library libpng, yang memiliki kerentanan keamanan yang diungkapkan dalam CVE-2015-8540. Aplikasi dengan kerentanan seperti ini dapat membuat pengguna berisiko disusupi dan dapat dianggap melanggar kebijakan Perilaku Berbahaya kami.Migrasikan aplikasi Anda ke libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26, atau yang lebih tinggi sesegera mungkin, dan naikkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai 17 September 2016, Google Play memblokir publikasi aplikasi baru atau update apa pun yang menggunakan versi libpng yang rentan. Silakan lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Kerentanan berasal dari akses memori yang tidak disetujui yang dapat berpotensi menyebabkan eksekusi kode. Versi 1.0.x sebelum 1.0.66, 1.1.x dan 1.2.x sebelum 1.2.56, 1.3.x dan 1.4.x sebelum 1.4.19, dan 1.5.x sebelum 1.5.26 terkena dampak tersebut.
Anda dapat membaca selengkapnya tentang kerentanan ini di CVE-2015-8540.
Meski masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan libpng, sebaiknya selalu update semua patch keamanan. Aplikasi juga harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan untuk menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.