Cómo reparar apps con vulnerabilidades de libpng

Esta información está dirigida a los programadores de apps que usen cualquier versión de la biblioteca de libpng que contenga una vulnerabilidad de seguridad divulgada en CVE-2015-8540. Es posible que las apps con este tipo de vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de comportamiento malicioso.

Migra tus apps a las versiones 1.0.66, 1.2.56, 1.4.19 o 1.5.26 de libpng (o versiones posteriores) lo antes posible, e incrementa el número de versión del APK actualizado. A partir del 17 de septiembre de 2016, Google Play bloqueará la publicación de apps nuevas o actualizaciones que usen versiones vulnerables de libpng. La versión publicada de tu app no cambiará, pero se bloquearán las actualizaciones de la app si no se soluciona la vulnerabilidad.

Sigue estos pasos:

  1. Descarga la versión más reciente de libpng del sitio web de libpng.
  2. Accede a Developer Console y envía la versión actualizada de tu app.
  3. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. Ten en cuenta que el proceso podría demorarse, incluso si reparaste el error de vulnerabilidad de tu app.

La vulnerabilidad proviene de un acceso a la memoria fuera de los límites que podría provocar la ejecución de código. Las versiones afectadas son las siguientes: 1.0.x anterior a 1.0.66, 1.1.x y 1.2.x anteriores a 1.2.56, 1.3.x y 1.4.x anteriores a 1.4.19, y 1.5.x anterior a 1.5.26.
Para obtener más información acerca de la vulnerabilidad, consulta CVE-2015-8540

Si tienes alguna pregunta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security". Ten en cuenta que no debes publicar preguntas sobre las políticas de Play en este sitio.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan libpng, se recomienda mantener todos los parches de seguridad actualizados. Las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.