开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

Parse Server 是一款开源项目，向iOS、macOS、安卓和 tvOS 提供推送通知功能。该软件是一个后端系统，兼容任意能够运行 Node.js、Express web 应用框架以及独立于或与现有web应用运营的任何基础设施。

6月17日发布的一份安全公告指出，Parse Server 遭遇 4.10.11/5.0.0/5.2.2中存在一个漏洞，可引发苹果Game Center 出现验证问题。苹果公司将 Game Center 称为“社交游戏网络”，该平台包括玩家明星榜以及实时的多用户游戏。

该漏洞的编号为CVE-2022-31083，CVSS评分为8.6，该漏洞发生的场景是苹果 Game Center的安全证书认证适配器无效。安全公告指出，“因此，通过制造某些苹果域名可访问的虚假证书，并将该URL提供给在authData对象中的证书，就可能绕过认证。”

攻击复杂度不高且无需任何权限即可实施攻击。

Parse Server 4.10.11/5.2.2 版本中已接收到修复方案。该软件的苹果Game Center认证适配器中已执行新的 rootCertificateUrl 属性，该适配器 “将该URL 带给苹果Game Center 认证证书的根证书中“。

如开发人员尚未在认证系统中设立值，则该新的属性默认是苹果在用的根证书的URL。目前尚不存在应变措施。另外，该安全公告提到，在使用Parse Server Apple Game Center认证适配器的同时将根证书更新至最新状态也是苹果生态系统开发人员的职责。

Game Center 将收到修订版本的控制面板，搭配iOS 16 中的朋友们的活动，并将在今年晚些时候发布。

ESET公司的全球网络安全顾问 Jake Moore指出，“不当验证可导致攻击者绕过认证，使得服务器易受简单的远程攻击影响。苹果通常不会在安全特征上出错，但不设立认证要求是危险的而且很容易遭攻击。避免此类威胁的最佳方法是通过最新更新快速修复设备。“

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~