假证书可用于绕过身份验证控件
解析服务器软件中的漏洞已导致发现了身份验证旁路影响Apple Game Center。
解析服务器是一个开源项目github提供的推送通知iOS,macOS,Android和TVOS的功能。
该软件是与任何能够运行Node.js,Express Web应用程序框架的基础结构兼容的后端系统,并且可以独立或与现有Web应用程序一起操作。beplay体育能用吗
根据安全咨询于6月17日发布,在4.10.11/5.0.0/5.2.2之前,Parse Server版本中的错误引起了Apple Game Center的验证问题。
苹果称游戏中心它的“社交游戏网络”。该平台包括排行榜和实时多人游戏。
绕过身份验证
跟踪为CVE-2022-31083并发布了CVSS的严重性评分为8.6,安全问题被描述为一种场景证书未经验证。
该咨询公司写道:“因此,通过使通过某些Apple域访问的假证书并在Authdata对象中提供该证书的URL可能会绕过身份验证。”
攻击复杂性被认为是低的,不需要特权。
一个使固定已在解析服务器4.10.11/5.2.2中发出。该软件的Apple Game Auth Auth适配器已实现了一个新的rootcertificateurl属性,该属性“将URL列为Apple Game Center身份验证证书的根证书”。
如果开发人员没有在身份验证系统中设置值,则新属性默认为Apple使用的根证书的URL。
没有解决方法。此外,该咨询公司指出,在使用Parse Server Apple Game Center Auth适配器时,将根证书保持最新状态也是Apple Ecosystem开发人员的责任。
游戏中心将获得经过修订的仪表板外观,包括朋友的活动iOS 16,将于今年晚些时候发布。
ESET全球网络安全顾问Jake Moore告诉《每日SWIG》:“不当验证可以使攻击者绕过身份验证,使服务器容易受到简单的远程攻击。”beplay2018官网
“苹果并不经常错过安全功能的标记,但没有身份验证的要求,这是一种潜在的危险甚至轻松的攻击。避免这种威胁的最佳方法是快速使用最新更新来修补设备。”
每日swbeplay2018官网ig已经与苹果联系了,如果我们回音,我们将更新。
