Cómo corregir aplicaciones con la vulnerabilidad libpng

Esta información va dirigida a los desarrolladores de aplicaciones que utilicen cualquier versión de la biblioteca libpng, la cual contiene una vulnerabilidad de seguridad detallada en CVE-2015-8540. Las aplicaciones con vulnerabilidades como esta pueden suponer un riesgo para la seguridad de los usuarios y es posible que infrinjan la política de Comportamiento malicioso.Migra tus aplicaciones a libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 o una versión posterior lo antes posible y aumenta el número de versión de los APK actualizados.

¿Qué va a cambiar?

El 17 de septiembre deL 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que utilizaban versiones vulnerables de libpng. Consulta el aviso en Play Console.Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.

Acción necesaria​

  1. Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
  2. Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las aplicaciones afectadas.

Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.

Información adicional

La vulnerabilidad se debe a un acceso a la memoria fuera de los límites que podría resultar en una ejecución de código. Las versiones afectadas son 1.0.x (anteriores a 1.0.66), 1.1.x y 1.2.x (anteriores a 1.2.56), 1.3.x y 1.4.x (anteriores a 1.4.19) y 1.5.x (anteriores a 1.5.26).
Puedes consultar más información sobre esta vulnerabilidad en la página CVE-2015-8540

Aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilicen libpng, te recomendamos que mantengas todos los parches de seguridad actualizados. Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y la política de contenido.

Queremos ayudarte

Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?