libpng に関する脆弱性があるアプリを修正する方法

この情報は libpng ライブラリのすべてのバージョンを使用しているアプリのデベロッパーを対象としています。このライブラリには CVE-2015-8540 で開示されているセキュリティの脆弱性が含まれています。このような脆弱性が含まれるアプリでは、ユーザーが不正使用のリスクにさらされるおそれがあり、Google の悪意のある行為に関するポリシーに違反すると判断される場合があります。できる限り早急にアプリを libpng v1.0.66、v.1.2.56、v.1.4.19、v1.5.26 以降に移行し、アップグレードした APK のバージョン番号を更新するようお願いいたします

状況

2016 年 9 月 17 日以降、Google Play では libpng の脆弱性のあるバージョンを使用する新規アプリやアップデートの公開がブロックされるようになりました。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。

必要な対応

  1. Play Console にログインし、[アラート] セクションで、該当するアプリや問題の解決期限を確認します。
  2. 該当のアプリを更新し、脆弱性を修正します。
  3. 該当のアプリの更新バージョンを送信します。

再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。

その他の詳細

この脆弱性は、範囲外のメモリへのアクセスでコードが実行される可能性があることが原因です。影響するのは、バージョン 1.0.66 より前の 1.0.x、バージョン 1.1.x、バージョン 1.2.56 より前の 1.2.x、バージョン 1.3.x、バージョン 1.4.19 より前の 1.4.x、バージョン 1.5.26 より前の 1.5.x です。
この脆弱性について詳しくは CVE-2015-8540 の説明をご覧ください。

この問題が libpng を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。アプリはデベロッパー販売 / 配布契約コンテンツ ポリシーに準拠している必要があります。

サポートのご案内

脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。