有用户在苹果开发者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcode 团队在帖子中则回应道,他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。”
根据介绍,Xcode 确实包含了一个 Java 运行环境 -- App Store 的上传一直在其交付机制中使用 Java 工具,并提供了一个 Java 运行环境:% /Applications/Xcode.app/Contents/SharedFrameworks/ContentDeliveryServices.framework/Versions/A/itms/java/bin/java -version openjdk version "14.0.2" 2020-07-14 OpenJDK Runtime Environment 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8) OpenJDK 64-Bit Server VM 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8, mixed mode
目前,苹果方面已经发布了 Xcode 13.2.1 版本。发行说明中列出了这一已知问题:
-
Xcode 包含具有 CVE-2021-44228 安全漏洞的 log4j 库的副本。Xcode 会自动下载此库的更新版本并将其安装到
~/Library/Caches/com.apple.amp.itmstransporter。当向 App Store 提交应用程序时,Xcode 会使用该库的更新版本。(86390060)
详情可查看官方公告
猜你喜欢:暂无回复。
