AccueilSécuritéLe code Xcode est en danger : Un hotfix pour contourner la...

Le code Xcode est en danger : Un hotfix pour contourner la faille Log4j

La grave vulnérabilité Log4j concerne également l’environnement de développement Xcode d’Apple. Jusqu’à la dernière version 13.2.1, l’application contient une version vulnérable de la bibliothèque de journalisation Java log4j, qui semble être un composant vétéran des fonctions de déploiement pour le téléchargement d’applications vers l’App Store d’Apple.

Sommaire

Depuis la fin de la semaine dernière, Xcode télécharge automatiquement une version mise à jour de la bibliothèque de journalisation Java et l’installe dans le répertoire ~/Library/Caches/com.apple.amp.itmstransportercomme l’indique le fabricant dans les « problèmes connus » de Xcode 13.2.1 dans les notes de mise à jour pour les développeurs. Dans l’historique général des versions de Xcode sur le Mac App Store, la correction n’est pas mentionnée. Les développeurs étaient donc en partie inquiets, car la version log4j livrée avec Xcode est toujours considérée comme vulnérable. Ce n’est que lors du téléchargement ou de la soumission d’applications iOS écrites pour la distribution via l’App Store que Xcode utilise désormais la version actualisée de la bibliothèque de journalisation Java, comme l’explique Apple.

Par conséquent, la bibliothèque vulnérable ne devrait pas se retrouver par inadvertance dans les applications iPhone et iPad disponibles pour les clients finaux – même si l’ancienne version de la bibliothèque d’enregistrement Java reste pour l’instant dans la version actuelle de Xcode.

On ne sait pas encore si Apple fournira un correctif pour l’application « iTunes Producer », qui semble également contenir une version vulnérable de la bibliothèque de journalisation Java. iTunes Producer est destiné à télécharger des contenus pour les magasins de contenus d’Apple, anciennement regroupés sous le terme « iTunes Store ». Apple semble avoir déjà corrigé la faille log4j sur ses propres serveurs pour iCloud.

Plus d'articles