Um hacker huffy publicou etapas detalhadas para qualquer um para tirar uma "fácil" Minecraft explorar capaz de causar servidores para falhar.
Desenvolvedor Ammar Askar caiu o hack que permite que atacantes para enviar pacotes mal formados que podem quebrar servidores Minecraft pelo esgotamento da sua memória.
A publicação explorar surge dois anos depois de Askar tentou, através de e-mails através de cinco 'ignorados', para divulgar a falha na versão 1.6.2 para o desenvolvedor Minecraft Mojang.
Controladora Microsoft foi contatado para comentar o assunto.
"... Duas versões principais e dezenas de versões menores e uma vulnerabilidade crítica que lhe permite bater qualquer servidor, e morrer de fome as máquinas reais de CPU e memória foi autorizado a existir", Askar diz .
"Mojang já não é uma pequena empresa indie fazendo um pequeno jogo indie, seu software é utilizado por milhares de servidores, centenas de milhares de pessoas jogam em servidores que executam o software a qualquer momento.
"... Deve-se notar que dar respostas condescendente com chapéus brancos (hackers) que estão divulgando com responsabilidade vulnerabilidades e tentando melhorar um produto que desfrutam é uma certeza fogo maneira de obter (sic) desenvolvedores desinteressado na próxima vez que se deparar com uma bug como este. "
Falha de Askar funciona em parte porque os clientes estão autorizados a enviar informações sobre servidores de determinadas faixas horárias item de jogo. Quando emparelhado com o formato de metadados NBT JSON-like permite que atacantes para criar facilmente um pacote que é "incrivelmente complexa" para que o servidor deserialise.
Mojang mudou-se para corrigir a falha após Askar de explorar queda, mas falhou, deixando-a ainda exposta.
Isto é, apesar de que a correção "não é exatamente tão difícil", segundo o hacker que disse Mojang há dois anos que o cliente Minecraft nunca deve enviar uma estrutura de dados tão complexo como NBT de tamanho arbitrário, sem, pelo menos, implementar limites de recursão e tamanho. ®
Nenhum comentário:
Postar um comentário