Cette information est destinée aux développeurs d'applications qui utilisent une version de la bibliothèque libpng contenant une faille de sécurité décrite sur la page CVE-2015-8540. Nous pouvons considérer que les applications qui présentent des failles de ce type risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant.Veuillez mettre à jour vos applications pour qu'elles utilisent libpng 1.0.66, 1.2.56, 1.4.19, 1.5.26 ou version ultérieure dès que possible, et modifier en conséquence le numéro de version du fichier APK mis à jour.
Que se passe-t-il ?
Depuis le 17 septembre 2016, la publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions vulnérables de libpng est bloquée. Veuillez consulter la notification dans la console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
La faille provient d'un accès à la mémoire hors limites qui pourrait potentiellement conduire à l'exécution de code. Les versions 1.0.x antérieures à 1.0.66, 1.1.x et 1.2.x antérieures à 1.2.56, 1.3.x et 1.4.x antérieures à 1.4.19 et 1.5.x antérieure à 1.5.26 sont affectées.
Pour en savoir plus sur cette faille, rendez-vous sur la page CVE-2015-8540.
Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent libpng, nous vous recommandons de vous tenir informé des correctifs de sécurité. Les applications doivent également respecter le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.