Deze informatie is bedoeld voor ontwikkelaars van apps die een versie van de libpng-bibliotheek gebruiken die een beveiligingsprobleem bevat dat is bekendgemaakt in CVE-2015-8540. Door apps met dergelijke beveiligingsproblemen kunnen gebruikers worden blootgesteld aan hackers. Deze apps kunnen daarom worden beschouwd als in strijd met ons beleid ten aanzien van schadelijk gedrag.Migreer uw app(s) zo snel mogelijk naar libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 of hoger en verhoog het versienummer van de geüpgradede APK.
Wat er gebeurt
Met ingang van 17 september 2016 blokkeert Google Play de publicatie van nieuwe apps of updates die versies van libpng met kwetsbaarheden gebruiken. Bekijk de melding in uw Play Console. Na de deadlines die worden weergegeven in uw Play Console, worden apps met niet opgeloste beveiligingsproblemen verwijderd uit Google Play.
Actie vereist
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp de kwetsbaarheid.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat uw app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoeft u verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en ontvangt u een e-mailmelding.
Aanvullende details
Het probleem komt voort uit geheugentoegang dat buiten het bereik valt en mogelijk kan leiden tot code-uitvoering. Dit is van invloed op versies 1.0.x vóór 1.0.66, 1.1.x en 1.2.x vóór 1.2.56, 1.3.x en 1.4.x vóór 1.4.19 en 1.5.x vóór 1.5.26.
In CVE-2015-8540 kunt u meer lezen over de kwetsbaarheid.
Hoewel deze specifieke problemen mogelijk niet van invloed zijn op elke app waarvoor libpng wordt gebruikt, is het goed om altijd de nieuwste beveiligingspatches te implementeren. Apps moeten ook voldoen aan de distributieovereenkomst voor ontwikkelaars en het contentbeleid.
We helpen u graag
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.