Теперь каждый злоумышленник может сделать детям гадость и вывести из строя любой сервер Minecraft, используя опубликованный эксплоит. Автор эксплоита говорит, что обнаружил уязвимость в версии Minecraft 1.6.2 ещё в июле 2013 года, то есть почти два года назад. В течение всего минувшего времени компания Mojang игнорировала его письма с предупреждениями, так что сейчас у автора не осталось другого выхода, кроме как опубликовать эксплоит в свободном доступе.

«Уязвимость присутствует почти во всех прошлых и текущей версии Minecraft, по крайней мере, до 1.8.3, — пишет автор. — В качестве векторов атаки используются пакеты 0x08: Block Placement Packet и 0x10: Creative Inventory Action».

Эксплоит использует баг в алгоритме распаковки и парсинга данных на сервере, из-за чего появляется возможность сгенерировать «несколько миллионов Java-объектов, включая ArrayLists». После этого на сервере заканчивается оперативная память, а на CPU подаётся предельная нагрузка.

«Исправить этот баг не так сложно, — говорит автор эксплоита, — поскольку от клиента не ожидается отправка такого типа данных, поэтому можно установить ограничения на тип и количество данных».

Сразу после публикации эксплоита компания Mojang выпустила патч 1.8.4.

003

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    8 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии