Der Programmierer Ammar Askar hat eine schwere Sicherheitslücke im Sandbox-Spiel Minecraft entdeckt, die es Angreifern ermöglicht, Multiplayer-Server mithilfe manipulierter Daten zum Absturz zu bringen. Sobald sich ein Spieler auf einem Server einloggt, übermittelt der Client des Nutzers Informationen über den Inhalt des Inventars als Binärdaten. Durch Veränderungen an der lokal gespeicherten Datei ist es möglich, die Größe des gesendeten Datenpakets derart zu erhöhen, dass der Speicher des Servers beim Entpacken voll läuft und der Prozessor vollständig ausgelastet wird. Dies führt schließlich dazu, dass der Server abstürzt. Die genauen technischen Details könnt ihr bei Interesse in der Quelle nachlesen.
Laut Aussagen des Programmierers besteht das Problem bereits seit Version 1.6.2, die im Juli 2013 erschienen ist. Bereits kurz nach der Entdeckung habe er die Entwickler darauf aufmerksam gemacht und regelmäßig nachgefragt, ohne dass Mojang bislang darauf reagiert hätte. Askar zeigte sich daher entsprechend enttäuscht vom Verhalten des Teams:
Mojang ist nicht länger ein winziges Indie-Studio, das ein kleines Indie-Spiel macht. Ihre Software wird auf unzähligen Servern von hundertausenden Spielern genutzt. Sie haben die Verantwortung, solche Probleme vernünftig zu beseitigen. Außerdem wäre es angebracht, dass sie auf Nutzer, die sie über Fehler informieren und damit das Produkt, das sie lieben, verbessern wollen, eingehen und ihnen antworten – sonst könnten ambitionierte Entwickler schnell die Lust verlieren, weiter bei der Fehlerbeseitigung zu helfen.
Nachdem Askar den Fehler jetzt öffentlich gemacht und das Minecraft-Team erneut kontaktiert hat, arbeitet Mojang an einer Lösung. Mittlerweile wurde ein Patch veröffentlicht, der die Lücke schließen soll. Da viele Server jedoch Modifikationen verwenden, die inkompatibel zur aktuellen Version sind, bleibt das Problem für einen Großteil der Nutzer weiter bestehen. Rückblickend betrachtet er den Vorfall als Resultat mangelnder Kommunikation sowie ungenügender Software-Tests seitens der Entwickler und hofft, dass alle etwas daraus gelernt haben.
Schlechtes Verhalten seitens Mojang, dass sie erst was tun wenn der Sicherheitsforscher die Information öffentlich macht. Genau dafür kontaktieren verantwortungsvolle Hacker ja die Unternehmen...
Aber solange es nur um Abstürze geht, die kann man auch durch eine Dos-Attacke erzeugen.
Edit
Was mir gerade erst klar geworden ist: Die ganzen Modpacks haben jetzt ein gigantisches Problem. Es gibt kaum Mods die auf der aktuellen Minecraft-Version laufen und die Modpacks sind alle bei Version 1.7.x stehen geblieben, weil es zu große Änderungen gab und immer noch keine offizielle Modding API existiert wie Mojang versprochen hat.
Ja, genau das ist die Krux. Ich hab mal noch einen Satz dazu ergänzt.
>> Genau dafür kontaktieren verantwortungsvolle Hacker ja die Unternehmen...
Aber genau das hat er doch gemacht? Im Juli 2013, um genau zu sein.
Das war auch wohl eher ein Vorwurf Richtung Mojang.
Das stört mich auch. :/
Spiele mit meiner Freundin auch auf 1.7.10 - unter anderem deswegen. Aber auch, weil der Vanilla-Server unter 1.8 nicht stabil läuft. Der wirft uns immer so nach ein paar Minuten vom Server, bzw. stürzt einfach ohne Fremdwirkung ab.
Der 1.7.10 Server läuft hingegen stabil - also kein Grund, für meine Freundin & mich zu wechseln.
Gibt es nach dem Ende von Bukkit eigentlich weiterhin alternative Server? Fand Bukkit immer ziemlich geil..
Gut die Server können dadurch abstürzen. Daraus lässt sich jetzt aber nicht schließen inwieweit das ansonsten ein Sicherheitsrisiko darstellen soll.
Das Sicherheitsrisiko ist die Schwachstelle im Code, mit der man jeden beliebigen Server abschießen könnte. Keine Ahnung, wie du das sonst definieren würdest.
Eine Moeglichkeit zum Denial of Service wird im Allgemeinen als Sicherheitsluecke betrachtet. Damit kann man ja z.B. Diensten ihre Geschaeftsgrundlage entziehen.
Allerdings ist Denial of Service natuerlich nicht so schwerwiegend wie Code-Ausfuehrung oder ein Auslesen von schuetzenswerten Daten.
Für sich alleine gesehen ist er sicher nur ärgerlich, aber in Kombination mit einem Exploit/Trojaner/Rootkit kann ich mir dadurch Zugang zu deinem Server verschaffen.