Теперь каждый злоумышленник может сделать детям гадость и вывести из строя любой сервер Minecraft, используя опубликованный эксплоит. Автор эксплоита говорит, что обнаружил уязвимость в версии Minecraft 1.6.2 ещё в июле 2013 года, то есть почти два года назад. В течение всего минувшего времени компания Mojang игнорировала его письма с предупреждениями, так что сейчас у автора не осталось другого выхода, кроме как опубликовать эксплоит в свободном доступе.

«Уязвимость присутствует почти во всех прошлых и текущей версии Minecraft, по крайней мере, до 1.8.3, — пишет автор. — В качестве векторов атаки используются пакеты 0x08: Block Placement Packet и 0x10: Creative Inventory Action».

Эксплоит использует баг в алгоритме распаковки и парсинга данных на сервере, из-за чего появляется возможность сгенерировать «несколько миллионов Java-объектов, включая ArrayLists». После этого на сервере заканчивается оперативная память, а на CPU подаётся предельная нагрузка.

«Исправить этот баг не так сложно, — говорит автор эксплоита, — поскольку от клиента не ожидается отправка такого типа данных, поэтому можно установить ограничения на тип и количество данных».

Сразу после публикации эксплоита компания Mojang выпустила патч 1.8.4.

003



8 комментариев

  1. 21.04.2015 at 11:35

    Детям, аха ха! еп

  2. 22.04.2015 at 15:04

  3. 22.04.2015 at 15:05

  4. 22.04.2015 at 15:07

    вот еще плюшка)

Оставить мнение