Xcode 13.2 中包含 Log4j 漏洞,全球上千万苹果用户受到影响,xcode不行了?

有用户在苹果开发者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcod…

有用户在苹果开发者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcode 团队在帖子中则回应道,他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。”

根据介绍,Xcode 确实包含了一个 Java 运行环境 — App Store 的上传一直在其交付机制中使用 Java 工具,并提供了一个 Java 运行环境:% /Applications/Xcode.app/Contents/SharedFrameworks/ContentDeliveryServices.framework/Versions/A/itms/java/bin/java -version openjdk version “14.0.2” 2020-07-14 OpenJDK Runtime Environment 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8) OpenJDK 64-Bit Server VM 14.0.2-5906ce1373 (build 14.0.2+12-iTunesOpenJDK-8, mixed mode

目前,苹果方面已经发布了 Xcode 13.2.1 版本。发行说明中列出了这一已知问题:

  • Xcode 包含具有 CVE-2021-44228 安全漏洞的 log4j 库的副本。Xcode 会自动下载此库的更新版本并将其安装到~/Library/Caches/com.apple.amp.itmstransporter。当向 App Store 提交应用程序时,Xcode 会使用该库的更新版本。(86390060)

截止记者发稿,全球已经有3500万苹果用户受到影响,上千万用户已经被入侵,设备被控制…很严重啊

关于作者: qwephp

.

为您推荐