Теперь каждый злоумышленник может сделать детям гадость и вывести из строя любой сервер Minecraft, используя опубликованный эксплоит. Автор эксплоита говорит, что обнаружил уязвимость в версии Minecraft 1.6.2 ещё в июле 2013 года, то есть почти два года назад. В течение всего минувшего времени компания Mojang игнорировала его письма с предупреждениями, так что сейчас у автора не осталось другого выхода, кроме как опубликовать эксплоит в свободном доступе.
«Уязвимость присутствует почти во всех прошлых и текущей версии Minecraft, по крайней мере, до 1.8.3, — пишет автор. — В качестве векторов атаки используются пакеты 0x08: Block Placement Packet и 0x10: Creative Inventory Action».
Эксплоит использует баг в алгоритме распаковки и парсинга данных на сервере, из-за чего появляется возможность сгенерировать «несколько миллионов Java-объектов, включая ArrayLists». После этого на сервере заканчивается оперативная память, а на CPU подаётся предельная нагрузка.
«Исправить этот баг не так сложно, — говорит автор эксплоита, — поскольку от клиента не ожидается отправка такого типа данных, поэтому можно установить ограничения на тип и количество данных».
Сразу после публикации эксплоита компания Mojang выпустила патч 1.8.4.