AccueilActualités informatiqueLe code Xcode est en danger : Un hotfix pour contourner la...

Le code Xcode est en danger : Un hotfix pour contourner la faille Log4j

La grave vulnérabilité Log4j concerne également l’environnement de développement Xcode d’Apple. Jusqu’à la dernière version 13.2.1, l’application contient une version vulnérable de la bibliothèque de journalisation Java log4j, qui semble être un composant vétéran des fonctions de déploiement pour le téléchargement d’applications vers l’App Store d’Apple.

Sommaire

Depuis la fin de la semaine dernière, Xcode télécharge automatiquement une version mise à jour de la bibliothèque de journalisation Java et l’installe dans le répertoire ~/Library/Caches/com.apple.amp.itmstransportercomme l’indique le fabricant dans les « problèmes connus » de Xcode 13.2.1 dans les notes de mise à jour pour les développeurs. Dans l’historique général des versions de Xcode sur le Mac App Store, la correction n’est pas mentionnée. Les développeurs étaient donc en partie inquiets, car la version log4j livrée avec Xcode est toujours considérée comme vulnérable. Ce n’est que lors du téléchargement ou de la soumission d’applications iOS écrites pour la distribution via l’App Store que Xcode utilise entre-temps la version actualisée de la bibliothèque de journalisation Java, comme l’explique Apple.

Par conséquent, la bibliothèque vulnérable ne devrait plus être utilisée lors du téléchargement d’applications terminées, même si l’ancienne version de la bibliothèque d’enregistrement Java fait toujours partie de la version actuelle de Xcode.

On ne sait pas encore si Apple fournira un correctif pour l’application « iTunes Producer », qui semble également contenir une version vulnérable de la bibliothèque de journalisation Java. iTunes Producer est destiné à télécharger du contenu pour les magasins de contenu d’Apple, anciennement regroupés sous le terme « iTunes Store ». Le backend de l’App Store semble toujours reposer en partie sur l’ancien backend de l’iTunes Store. Sur ses propres serveurs pour iCloud, Apple semble avoir déjà éliminé la faille log4j auparavant.

[Update 21.12.21 12:30 Uhr] Le message corrigeait le fait que la bibliothèque de logs Java n’était utilisée que pour le téléchargement d’applications dans l’App Store et n’était pas fournie dans le cadre des bundles d’applications.

Plus d'articles