Como corrigir apps com a vulnerabilidade do libpng

Estas informações são destinadas aos desenvolvedores de apps que usam qualquer versão da biblioteca do libpng. Ele tem uma vulnerabilidade de segurança divulgada no artigo CVE-2015-8540 (páginas em inglês). Os apps com vulnerabilidades como esta expõem os usuários a risco de comprometimento e podem ser considerados produtos que violam nossa política de Comportamento malicioso.Faça a migração dos seus apps para o libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

Em 17 de setembro de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações com versões vulneráveis do libpng. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

Essa vulnerabilidade resulta de um acesso à memória fora dos limites que pode levar à execução de código. Ela afeta as seguintes versões: 1.0.x anteriores à 1.0.66, 1.1.x, 1.2.x anteriores à 1.2.56, 1.3.x, 1.4.x anteriores à 1.4.19 e 1.5.x anteriores à 1.5.26.
Leia mais sobre a vulnerabilidade no artigo CVE-2015-8540 (em inglês). 

Ainda que esses problemas específicos não afetem todos os apps que usam o libpng, recomendamos manter todos os patches de segurança atualizados. Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?