В Xcode тоже обнаружили уязвимость Log4j

IDE содержит баг, который позволяет запускать произвольный код удалённо. Но уже вышел хотфикс.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Пользователь TekGeeki на форуме Apple рассказал, что Xcode содержит баг библиотеки Log4j. Другие программисты поддержали его и пояснили, что редактор кода использует Java Runtime Environment. Сегодня уже вышло обновление 13.2.1, которое исправляет уязвимость.

Команда разработчиков в пресс-релизе к патчу 13.2.1 упомянула, что «Xcode содержит копию библиотеки log4j с уязвимостью CVE-2021-44228». Эта уязвимость получила 10 баллов из 10 по шкале CVSS.

Обновление для редактора скачивается автоматически и устанавливается по адресу ~/Library/Caches/com.apple.amp.itmstransporter. А при добавлении приложений в App Store Xcode использует обновлённую версию библиотеки.

Вот как на это отреагировали пользователи Reddit:

«Как это вообще может использоваться? Xcode — это локальный инструмент разработки. Как хакер собирается подкинуть какие-то вирусные входные данные?»

«Я вот думаю, сколько таких утечек уже могли использовать в АНБ или в других агентствах… И они никогда не считали нужным сообщать об этом компаниям по производству софта».