Odstraňování chyb zabezpečení u aplikací s knihovnou libpng

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi knihovny libpng s chybou zabezpečení popsanou ve zprávě CVE-2015-8540. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chování.Co nejdříve aplikace migrujte na knihovnu libpng verze 1.0.66, 1.2.56, 1.4.19, 1.5.26 nebo novější a zvyšte číslo verze upgradovaného souboru APK.

K čemu dochází

Od 17. září 2016 služba Google Play blokuje publikování nových aplikací a aktualizací, které používají verze knihovny libpng s chybami zabezpečení. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Tato chyba zabezpečení vychází z neomezeného přístup k paměti, který by mohl mít za následek spuštění kódu. Chyba se vyskytuje ve verzích 1.0.x před verzí 1.0.66, 1.1.x a 1.2.x před verzí 1.2.56, 1.3.x a 1.4.x před verzí 1.4.19 a 1.5.x před verzí 1.5.26.
Další informace naleznete ve zprávě CVE-2015-8540

Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci, která používá knihovnu libpng, doporučujeme instalovat všechny opravy zabezpečení. Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami.

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.