Cómo reparar apps con vulnerabilidades de libpng

Esta información está dirigida a los desarrolladores de apps que usen cualquier versión de la biblioteca de libpng que contenga una vulnerabilidad de seguridad divulgada en CVE-2015-8540. Es posible que las apps con este tipo de vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de comportamiento malicioso. Migra tus apps a libpng 1.0.66, 1.2.56, 1.4.19 o 1.5.26 (o versiones posteriores) lo antes posible, y aumenta el número de versión del APK actualizado.

Novedades

A partir del 17 de septiembre de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan versiones vulnerables de libpng. Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

La vulnerabilidad proviene de un acceso a la memoria fuera de los límites que podría provocar la ejecución de código. Las versiones afectadas son las siguientes: 1.0.x anterior a 1.0.66, 1.1.x y 1.2.x anteriores a 1.2.56, 1.3.x y 1.4.x anteriores a 1.4.19, y 1.5.x anterior a 1.5.26.
Para obtener más información acerca de la vulnerabilidad, consulta CVE-2015-8540

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan libpng, se recomienda mantener todos los parches de seguridad actualizados. Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido.

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.