Xcode: Hotfix soll Log4j-Lücke umfahren
Apples Entwicklungsumgebung enthält eine angreifbare Version der Java-Logging-Bibliothek log4j. Beim Upload von iOS-Apps soll aber ein Fix greifen.
(Bild: Apple)
- Leo Becker
Die schwerwiegende Log4j-Schwachstelle betrifft auch Apples Entwicklungsumgebung Xcode. Die Anwendung enthält bis hin zur jüngsten Version 13.2.1 eine angreifbare Version der Java-Logging-Bibliothek log4j. Sie dient offenbar als ein altgedienter Bestandteil der Bereitstellungsfunktionen für das Hochladen von Programmen zu Apples App Store.
Aktualisierte log4j-Bibliothek für App-Uploads
Xcode lädt bereits seit Ende vergangener Woche automatisch eine aktualisierte Version der Java-Logging-Bibliothek nach und installiert diese in das Verzeichnis ~/Library/Caches/com.apple.amp.itmstransporter, wie der Hersteller bei den "bekannten Problemen" von Xcode 13.2.1 in den Release Notes für Entwickler vermerkt. Im allgemeinen Versionsverlauf von Xcode im Mac App Store wird der Fix nicht aufgeführt. Entwickler waren deshalb teils verunsichert, weil die in Xcode mitgelieferte log4j-Version weiterhin als verwundbar gilt. Erst beim Upload respektive Einreichen von geschriebenen iOS-Apps zum Vertrieb über den App Store nutzt Xcode inzwischen aber die aktualisierte Version der Java-Logging-Bibliothek, wie Apple erläutert.
Entsprechend sollte die verwundbare Bibliothek nicht länger beim Hochladen von fertigen Apps zum Einsatz kommen, auch wenn die ältere Version der Java-Logging-Bibliothek bislang weiterhin Teil der aktuellen Xcode-Version ist.
iTunes Producer möglicherweise noch mit Log4j-Lücke
Unklarheit besteht derzeit noch darüber, ob Apple auch einen Hotfix für die App "iTunes Producer" ausliefert, die offenbar ebenfalls eine angreifbare Version der Java-Logging-Bibliothek enthält. iTunes Producer ist zum Upload von Inhalten für Apples früher unter dem Begriff "iTunes Store" gebündelten Content-Läden gedacht. Das App-Store-Backend scheint immer noch in Teilen auf dem alten iTunes-Store-Backend aufzusetzen. Auf seinen eigenen Servern für iCloud scheint Apple die log4j-Lücke zuvor bereits ausgeräumt zu haben.
[Update 21.12.21 12:30 Uhr] In der Meldung wurde berichtigt, dass die Java-Logging-Bibliothek nur für den App-Upload in den App Store zum Einsatz kommt und nicht als Teil der App-Bundles bereitgestellt wird.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
