Update: Mit dem 20.12.2021 gibt es ein Hotfix-Release auf 1.8.19. Log4j wurde komplett entfernt.
Ein Fehler in einem java-Tool hinterlässt seine Schockwellen auch für Otto Normalanwender, denn das Sicherheitsproblem betrifft offensichtlich auch die Arduino-IDE -> also Dich und mich!
Zum Glück hat Arduino.cc schnell reagiert und die neue Revision 1.8.18 zur Verfügung gestellt. Die Release-Notes der Arduino-Webseite sagen:
ARDUINO 1.8.18 2021.12.14 SECURITY HOTFIX RELEASE [ide] * Upgrade log4j to 2.16.0 - Extra hardening for CVE-2021-44228 ARDUINO 1.8.17 (not released superseded by 1.8.18) [ide] * Upgrade log4j to 2.15.0 - CVE-2021-44228 (thanks @rhowe)
Dies ist demnach das zweite Release, das sich mit dem Problem beschäftigt.