Die schwerwiegende Log4j-Schwachstelle betrifft auch Apples Entwicklungsumgebung Xcode. Die Anwendung enthält bis hin zur jüngsten Version 13.2.1 eine angreifbare Version der Java-Logging-Bibliothek log4j. Sie dient offenbar als ein altgedienter Bestandteil der Bereitstellungsfunktionen für das Hochladen von Programmen zu Apples App Store.

Aktualisierte log4j-Bibliothek für App-Uploads

Xcode lädt bereits seit Ende vergangener Woche automatisch eine aktualisierte Version der Java-Logging-Bibliothek nach und installiert diese in das Verzeichnis ~/Library/Caches/com.apple.amp.itmstransporter , wie der Hersteller bei den "bekannten Problemen" von Xcode 13.2.1 in den Release Notes für Entwickler vermerkt. Im allgemeinen Versionsverlauf von Xcode im Mac App Store wird der Fix nicht aufgeführt. Entwickler waren deshalb teils verunsichert, weil die in Xcode mitgelieferte log4j-Version weiter als verwundbar gilt. Erst beim Upload respektive Einreichen von geschriebenen iOS-Apps zum Vertrieb über den App Store nutze Xcode jetzt aber die aktualisierte Version der Java-Logging-Bibliothek, wie Apple erläutert.

Entsprechend sollte die verwundbare Bibliothek nicht versehentlich in den für Endkunden verfügbaren iPhone- und iPad-Apps landen – auch wenn die ältere Version der Java-Logging-Bibliothek vorerst weiterhin Teil der aktuellen Xcode-Version bleibt.

iTunes Producer möglicherweise noch mit Log4j-Lücke

Unklarheit besteht derzeit noch darüber, ob Apple auch einen Hotfix für die App "iTunes Producer" ausliefert, die offenbar ebenfalls eine angreifbare Version der Java-Logging-Bibliothek enthält. iTunes Producer ist zum Upload von Inhalten für Apples früher unter dem Begriff "iTunes Store" gebündelten Content-Läden gedacht. Auf seinen eigenen Servern für iCloud scheint Apple die log4j-Lücke bereits ausgeräumt zu haben.

