Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurās tiek izmantota bibliotēka libpng, kas ietver šeit atklāto drošības ievainojamību: CVE-2015-8540. Var tikt uzskatīts, ka ar tādām lietotnēm, kuru ievainojamība pakļauj lietotājus riskam, tiek pārkāpta mūsu politika par ļaunprātīgu rīcību.Lūdzu, pēc iespējas drīzāk migrējiet savu(-as) lietotni(-es) uz libpng versiju v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 vai jaunāku versiju un palieliniet jauninātā APK versijas numuru.
Problēma
Sākot no 2016. gada 17. septembra, pakalpojumā Google Play tiek liegta jebkuru jaunu lietotņu vai atjauninājumu publicēšana, kuros tiek izmantotas libpng versijas ar ievainojamību. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
Šī ievainojamība ir radusies no atmiņas piekļuves ārpus robežām, kas var potenciāli izraisīt koda izpildīšanu. Ietekmētas versijas 1.0.x (pirms versijas 1.0.66), 1.1.x un 1.2.x (pirms versijas 1.2.56), 1.3.x un 1.4.x (pirms versijas 1.4.19) un 1.5.x (pirms versijas 1.5.26).
Vairāk par ievainojamību varat lasīt šeit: CVE-2015-8540.
Lai gan konkrētās problēmas var neietekmēt visas lietotnes, kurās tiek izmantota bibliotēka libpng, ieteicams lietot visus jaunākos drošības ielāpus. Lietotnēm ir arī jāatbilst izstrādātāja izplatīšanas līgumam un satura politikai.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.