如何修正有 Libpng 安全性漏洞的應用程式

開發人員請注意,如果您應用程式使用的 libpng 程式庫版本含有 CVE-2015-8540 中所述的安全性漏洞,請詳閱本文資訊。如果應用程式含有這類安全性漏洞,導致使用者的資料有外洩之虞,我們可能會將該應用程式視為違反惡意行為政策。請儘快將您的應用程式升級至 libpng 1.0.66、1.2.56、1.4.19,或 1.5.26 以上版本,並為升級的 APK 增加版本號碼

問題說明

自 2016 年 9 月 17 日起,只要新的應用程式或更新內容使用了含有安全漏洞的 libpng 版本,就一律無法在 Google Play 發布。請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不需採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

這個安全漏洞源自於越界記憶體存取,這類問題可能導致程式碼執行漏洞。受影響的版本包括:1.0.66 以下的 1.0.x 各版本、1.2.56 以下的 1.1.x 和 1.2.x 各版本、1.4.19 以下的 1.3.x 和 1.4.x 各版本,以及 1.5.26 以下的 1.5.x 各版本。
如要進一步瞭解這項安全漏洞,請參閱 CVE-2015-8540

雖然這些特定問題不一定會對所有使用 libpng 的應用程式造成影響,我們仍建議您安裝所有最新的安全性修補程式。此外,應用程式也必須遵循《開發人員發布協議》和《內容政策》。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?