Как устранить уязвимость в приложениях с небезопасной версией libpng

Эта информация предназначена для разработчиков, в чьих приложениях используется библиотека libpng. В некоторых ее версиях обнаружена опасная для пользователей уязвимость (идентификатор CVE-2015-8540), поэтому приложения с этой библиотекой могут расцениваться как вредоносные. Как можно скорее перейдите на libpng версии 1.0.66, 1.2.56, 1.4.19, 1.5.26 или выше и обновите номера версий APK-файлов.

Общая информация

С 17 сентября 2016 года в Google Play нельзя публиковать приложения, использующие уязвимые версии libpng. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимости, могут быть удалены из Google Play.

Необходимые действия

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Обновите приложения и устраните уязвимость.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

Уязвимость связана с переполнением буфера и может привести к выполнению вредоносного кода. Проблема обнаружена в следующих версиях библиотеки: 1.0.x ранее 1.0.66, 1.1.x и 1.2.x ранее 1.2.56, 1.3.x и 1.4.x ранее 1.4.19, а также 1.5.x ранее 1.5.26.
Подробнее об уязвимости CVE-2015-8540… 

Хотя описанная выше уязвимость может затрагивать не все приложения с библиотекой libpng, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента.

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?