Parse Server是GitHub上的一个开源项目,它为 iOS、macOS、Android和tvOS提供推送通知功能。该软件是一个后端系统,与任何能够运行Node.js(Express Web应用程序框架)的基础设施兼容,并且可以独立运行或与现有的Web 应用程序一起运行。
根据6月17日发布的安全公告,4.10.11/5.0.0/5.2.2之前的Parse Server版本中的一个错误导致Apple Game Center出现验证问题。
Apple将Game Center称为其“社交游戏网络”。该平台包括排行榜和实时多人游戏。
跟踪为CVE-2022-31083并发布了8.6的CVSS严重性评分,该安全问题被描述为Apple Game Center安全证书的身份验证适配器未经过验证的情况。
“因此,通过某些Apple域可访问假证书并在authData对象中提供该证书的URL,可能会绕过身份验证,”该公告中写道。
攻击复杂性被认为很低,不需要特权。
Parse Server 4.10.11/5.2.2中已发布修复程序。该软件的Apple Game Center身份验证适配器中实现了一个新的rootCertificateUrl属性,该属性“将URL带到Apple的Game Center身份验证证书的根证书”。
如果开发人员没有在身份验证系统中设置值,则新属性默认为Apple使用的根证书的URL。
没有可用的解决方法。此外,该公告指出,在使用Parse Server Apple Game Center身份验证适配器时,保持根证书处于最新状态也是Apple生态系统开发人员的责任。
Game Center将在iOS 16中收到经过修改的仪表板外观,其中包含朋友的活动,将于今年晚些时候发布。
ESET全球网络安全顾问Jake Moore说:“不正确的验证可能让攻击者绕过身份验证,使服务器容易受到简单的远程攻击。”
“Apple在安全功能上遗漏标记的情况并不常见,但如果不要求身份验证,这是一种潜在的危险,甚至是一种简单的攻击。避免这种威胁的最佳方法是使用最新更新快速修补设备。”
评论已关闭。