Xcode: Hotfix soll Log4j-Lücke umfahren

Published by hyph on


Die schwerwiegende Log4j-Schwachstelle betrifft auch Apples Entwicklungsumgebung Xcode. Die Anwendung enthält bis hin zur jüngsten Version 13.2.1 eine angreifbare Version der Java-Logging-Bibliothek log4j. Sie dient offenbar als ein altgedienter Bestandteil der Bereitstellungsfunktionen für das Hochladen von Programmen zu Apples App Store.

Xcode lädt bereits seit Ende vergangener Woche automatisch eine aktualisierte Version der Java-Logging-Bibliothek nach und installiert diese in das Verzeichnis ~/Library/Caches/com.apple.amp.itmstransporter, wie der Hersteller bei den “bekannten Problemen” von Xcode 13.2.1 in den Release Notes für Entwickler vermerkt. Im allgemeinen Versionsverlauf von Xcode im Mac App Store wird der Fix nicht aufgeführt. Entwickler waren deshalb teils verunsichert, weil die in Xcode mitgelieferte log4j-Version weiterhin als verwundbar gilt. Erst beim Upload respektive Einreichen von geschriebenen iOS-Apps zum Vertrieb über den App Store nutzt Xcode inzwischen aber die aktualisierte Version der Java-Logging-Bibliothek, wie Apple erläutert.

Entsprechend sollte die verwundbare Bibliothek nicht länger beim Hochladen von fertigen Apps zum Einsatz kommen, auch wenn die ältere Version der Java-Logging-Bibliothek bislang weiterhin Teil der aktuellen Xcode-Version ist.

Mehr von Mac & i

Mehr von Mac & i

Mehr von Mac & i

Mehr von Mac & i

Unklarheit besteht derzeit noch darüber, ob Apple auch einen Hotfix für die App “iTunes Producer” ausliefert, die offenbar ebenfalls eine angreifbare Version der Java-Logging-Bibliothek enthält. iTunes Producer ist zum Upload von Inhalten für Apples früher unter dem Begriff “iTunes Store” gebündelten Content-Läden gedacht. Das App-Store-Backend scheint immer noch in Teilen auf dem alten iTunes-Store-Backend aufzusetzen. Auf seinen eigenen Servern für iCloud scheint Apple die log4j-Lücke zuvor bereits ausgeräumt zu haben.

[Update 21.12.21 12:30 Uhr] In der Meldung wurde berichtigt, dass die Java-Logging-Bibliothek nur für den App-Upload in den App Store zum Einsatz kommt und nicht als Teil der App-Bundles bereitgestellt wird.


(lbe)

Zur Startseite

Categories: Uncategorized

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published.