Aquesta informació va dirigida als desenvolupadors d'aplicacions que fan servir qualsevol versió de la biblioteca libpng que conté una vulnerabilitat de seguretat descrita a CVE-2015-8540. Les aplicacions amb aquest tipus de vulnerabilitat exposen als usuaris al risc de perdre informació confidencial, i es pot considerar que infringeixen la nostra política sobre Comportament maliciós.Migra les teves aplicacions a les versions v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 de libpngo a una de posterior al més aviat possible i augmenta el número de versió de l'APK actualitzat.
Què passa
A partir del 17 de setembre de 2016, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin versions de libpng vulnerables. Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.
Acció necessària
- Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
- Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
- Envia les versions actualitzades de les aplicacions afectades.
Un cop hagis l'hagis tornat a enviar, tornarem a revisar la teva aplicació. Aquest procés pot tardar diverses hores. Si l'aplicació passa la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no passa la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.
Detalls addicionals
La vulnerabilitat es deu a un accés il·limitat a la memòria que podria comportar l'execució de codi. Afecta les versions 1.0.x anteriors a la 1.0.66, les versions 1.1.x i 1.2.x anteriors a la 1.2.56, les versions 1.3.x i 1.4.x anteriors a la 1.4.19 i les versions 1.5.x anteriors a la 1.5.26.
Pots obtenir més informació sobre aquesta vulnerabilitat a CVE-2015-8540.
Tot i que és possible que aquests problemes concrets no afectin totes les aplicacions que fan servir libpng, és millor tenir tots els pedaços de seguretat actualitzats. Les aplicacions també han de complir l'Acord de distribució per a desenvolupadors i la política de continguts.
Som aquí per ajudar-te
Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.