Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek a libpng függvénytár CVE-2015-8540 azonosítójú értesítésben leírt biztonsági rést tartalmazó verzióinak valamelyikét használják. Az ilyen, biztonsági réseket tartalmazó alkalmazások a felhasználókat támadások kockázatának tehetik ki, ezért olyan termékeknek tekinthetjük őket, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveket. Kérjük, a lehető leghamarabb telepítsd át alkalmazásaidat a libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 vagy újabb verziójára, és növeld a frissített APK-k verziószámát.
Mi történik?
2016. szeptember 17-től kezdve a Google Play minden olyan új alkalmazás és frissítés közzétételét letiltja, amely a libpng biztonsági rést tartalmazó verzióinak valamelyikét használja. Olvasd el a Play Console felületén lévő értesítést. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.
Teendők
- Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
- Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
- Küldd be az érintett alkalmazások frissített verzióit.
A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.
Részletek
A biztonsági rés határon kívüli memória-hozzáférésből ered, amely kódvégrehajtást tehet lehetővé. A következő verziók érintettek: 1.0.x (1.0.66 előtt), 1.1.x és 1.2.x (1.2.56 előtt), 1.3.x és 1.4.x (1.4.19 előtt), valamint 1.5.x (1.5.26 előtt).
A biztonsági résről bővebben itt olvashatsz: CVE-2015-8540.
Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely a libpng-t használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is.
Örömmel segítünk
A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.