Разработчик игры два года игнорировал уязвимость в своем продукте.
Разработчику Аммару Аскару (Ammar Askar) удалось разработать эксплоит, позволяющий осуществить атаку на серверы Minecraft. Отправляя специально сформированные пакеты, потенциальный злоумышленник может вызвать переполнение памяти и вывести серверы из строя.
Аммар опубликовал эксплоит спустя два года после того, как рассказал разработчику игры об обнаруженной уязвимости в версии 1.6.2. По словам эксперта, Mojang проигнорировала все пять отправленных им электронных писем. Аммар подчеркнул, что шведская компания больше не является мелким разработчиком инди-игр, и ее ПО используется на тысячах серверов.
«Следует отметить, что снисходительные ответы «белым шляпам» (хакерам), на которых лежит ответственность за раскрытие уязвимостей ради улучшения используемого ими продукта - это верный способ демотивировать их, и в следующий раз брешь, подобную этой, они обойдут стороной», - заявил Аммар.
Эксперт сообщил, что критическая уязвимость затрагивает две основные и десятки неосновных версий Minecraft. Брешь позволяет вывести из строя любой сервер и вызвать нехватку ресурсов процессора и памяти на конкретной машине.
Атака возможна отчасти из-за того, что клиент может отправлять на сервер информацию об определенных слотах внутриигровых предметов. Используя формат метаданных NBT и JSON, злоумышленник может без труда сформировать «чрезвычайно сложные» пакеты, которые сервер не сможет преобразовать.
Большой взрыв знаний каждый день в вашем телефоне