Évek óta támadható Minecraft szerverek

2015. április 20. 13:06 - Csizmazia Darab István [Rambo]

Egy nemrég nyilvánosságra hozott exploit révén egyszerűen összeomlaszthatóak a népszerű Minecraft játék szerverei. Anmar Askar először két éve jelezte a hibát a játékot megalkotó Mojang felé, de többszöri figyelmeztetéseire sem reagáltak érdemben. Így a merev elzárkozást követő egyetlen lehetséges, a klasszikus forgatókönyv szerinti lépésként ezúttal a blogjában publikált a konkrét sebezhetőségről. Sajnos nem csak ebben az esetben, hanem általában is a fejlesztők sokszor az ilyen drasztikus, ultima ratio eszköz bevetése után hajlamosak csak komolyan venni a figyelmeztetéséket.

A ZDNet cikke szerint már 2013. júliusában kérte a hiba javítását, amit azonban rendre figyelmen kívül hagytak, és a három havonta kiadandó update csomagokba sem építették azt bele, bár akkor még 1.6.2 verziónál tartottak, jelenleg pedig a 1.8.3. a legfrissebb. A részletes Timeline több kapcsolatfelvételi kísérletet is említ, 2013. július, 2013. augusztus, majd szeptember, és októberben kétszer is.

Nyilván a türelem sem végtelen, így aztán 21 hónap után pakisztáni szoftverfejlesztőnk elunta a végtelennek tetsző várakozást. Mivel a sebezhetőség azóta is kihasználható, ezért a blogjában az exploit kód részletes ismertetését és azt a GitHub-os proof-of-concept demot is publikálta a biztonsági szakember április 16-án, amely képes lehalasztani a szerver CPU-t.

Na vajon ki találja ki a történet végét? Az nyert, aki arra tippelt, hogy mindez serkentőleg hatott a Minecraft fejlesztőinek hozzáállására. Ugyanis csodák csodája megjelent a Minecraft 1.8.4. immár hibajavított változata, amely már sikeresen befoltozta az említett sérülékenységet.

Mindenkinek, aki most arra gondol, hogy "jó-jó, de hát kit érdekel Minecraft", érdemes kihangsúlyozni, hogy a történet messze túlnyúlik a konkrét eset keretein. Jól példázza sajnos azt a jellegzetes régi és rossz beidegződést, ahol a hiba bejelentője "ellenség", a legjobb stratégia pedig hallgatni, halogatni és semmit sem csinálni.

Ehhez elég feleleveníteni a 2008-as úgynevezett szőnyegbombázós esetet, ahol egy Safari böngészőt érintő hibát, amit a felfedezője, Nitesh Dhanjani kritikusnak tartott, ám az Apple nem értett ezzel egyet és nem is tartotta sürgősnek javítófolt kiadását. A hiba szerintük nem volt jelentős, és éppen csak azt nem mondták, hogy addig is böngésszünk kizárólag megbízható forrásból származó weblapokat ;-)

A sebezhetőség azonban mégis komolyabb volt a vártnál, és miután már az IDG News Service munkatársai is demonstrálták a hibát, melynek során először fel kellett keresni a Safari böngészővel egy rosszindulatú kódot tartalmazó weboldalt, ami után képesek voltak az áldozat számítógépén lefuttatni a Windows Calculator programot, végül megtört a jég és mégis lett hibajavítás.

Visszatérve a mostani esetre, Askart egyébként a jószándék vezette, egyszerűen csak nem szerette volna, hogy az MC szervereket tömegesen be lehessen dönteni az általa felfedezett hiba révén. A 2014-ben 2.5 millárd dollárért felvásárolt Minecraft új tulajdonosa immár a Microsoft, így még ha a korábbi Mojang nem is reagált megfelelően a sebezhetőség első bejelentéseire, azért tőlük már mint hatalmas és óriási tapasztalatokkal rendelkező nemzetközi multicégtől talán más és gyorsabb hozzáállásra számíthatott.

A Microsoftnál nem kívánták kommentálni az esetet. Emlékezetes, hogy idén januárban már szerepeltek egyszer a figyelem homlokterében, akkor ugyanis a Minecraft játékhoz tartozó hosszú, 1800 e-mailcímet és a hozzátartozó jelszót szöveges formában tartalmazó lista bukkant fel valahogyan a Pastebin weboldalon.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr907383186

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása