วิธีการแก้ไขแอปที่มีช่องโหว่ Libpng

ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่ใช้ไลบรารี libpng เวอร์ชันใดก็ตามซึ่งมีช่องโหว่ด้านความปลอดภัยที่เปิดเผยใน CVE-2015-8540 แอปที่มีช่องโหว่เช่นนี้อาจทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีและอาจได้รับการพิจารณาว่าละเมิดนโยบายพฤติกรรมที่เป็นอันตรายของเราโปรดย้ายข้อมูลแอปไปใช้ libpng v1.0.66, v.1.2.56, v.1.4.19, v1.5.26 ขึ้นไปโดยเร็วที่สุด และเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรด

สิ่งที่เกิดขึ้น

ตั้งแต่วันที่ 17 กันยายน 2016 Google Play ได้เริ่มบล็อกการเผยแพร่แอปใหม่ๆ หรืออัปเดตที่ใช้ libpng เวอร์ชันที่มีช่องโหว่ โปรดดูประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่มีการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console

สิ่งที่ต้องดำเนินการ​

  1. ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
  2. อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
  3. ส่งเวอร์ชันที่อัปเดตของแอปที่ได้รับผลกระทบ

แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว คุณไม่ต้องดำเนินการใดๆ เพิ่มเติม หากแอปไม่ผ่านการตรวจสอบ จะไม่มีการเผยแพร่แอปเวอร์ชันใหม่และคุณจะได้รับการแจ้งเตือนทางอีเมล

รายละเอียดเพิ่มเติม

ช่องโหว่เกิดขึ้นจากการเข้าถึงหน่วยความจำเกินขอบเขตที่อาจนำไปสู่การดำเนินการกับโค้ด เวอร์ชัน 1.0.x ก่อน 1.0.66, 1.1.x และ 1.2.x ก่อน 1.2.56, 1.3.x และ 1.4.x ก่อน 1.4.19 และ 1.5.x ก่อน 1.5.26 จะได้รับผลกระทบ
อ่านเพิ่มเติมเกี่ยวกับช่องโหว่ได้ใน CVE-2015-8540 

แม้ว่าปัญหาเฉพาะเหล่านี้อาจส่งผลกระทบต่อแอปที่ใช้ libpng เพียงบางแอป แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ แอปจะต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหาด้วย

เราพร้อมช่วยเหลือคุณ

หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร