Xcode 13.2 中包含 Log4j 漏洞

有用户在苹果开发者论坛指出，当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此，Xcode 团队在帖子中则回应道，他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA，但团队已经意识到存在这个安全问题。”

根据介绍，Xcode 确实包含了一个 Java 运行环境 -- App Store 的上传一直在其交付机制中使用 Java 工具，并提供了一个 Java 运行环境：% /Applications/Xcode.app/Contents/SharedFrameworks/ContentDeliveryServices.framework/Versions/A/itms/java/bin/java -version openjdk version "14.0.2" 2020-07-14 OpenJDK Runtime Environment 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8) OpenJDK 64-Bit Server VM 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8, mixed mode

目前，苹果方面已经发布了 Xcode 13.2.1 版本。发行说明中列出了这一已知问题：

• Xcode 包含具有 CVE-2021-44228 安全漏洞的 log4j 库的副本。Xcode 会自动下载此库的更新版本并将其安装到~/Library/Caches/com.apple.amp.itmstransporter。当向 App Store 提交应用程序时，Xcode 会使用该库的更新版本。(86390060)

详情可查看官方公告