Minecraft: Multiplayer-Server von Sicherheitslücke betroffen

PC Linux MacOS Browser
Bild von Admiral Anger
Admiral Anger 48793 EXP - 24 Trolljäger,R10,S3,C10,A10,J10
Dieser User unterstützt GG seit vier Jahren mit einem Abonnement.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtGold-Cutter: Hat 100 Videos gepostetAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertMeister-Poster: Sammelte 5000 EXP durch ForumspostsDebattierer: Hat 5000 EXP durch Comments erhaltenIdol der Massen: Hat mindestens 10.000 Kudos bekommenSilber-Jäger: Hat Stufe 10 der Jäger-Klasse erreichtDieser User hat uns an Weihnachten 2016 mit einer Spende von 10 Euro unterstützt.Silber-Archivar: Hat Stufe 10 der Archivar-Klasse erreicht

17. April 2015 - 13:50 — vor 1 Jahr zuletzt aktualisiert
Minecraft ab 17,04 € bei Amazon.de kaufen.

Der Programmierer Ammar Askar hat eine schwere Sicherheitslücke im Sandbox-Spiel Minecraft entdeckt, die es Angreifern ermöglicht, Multiplayer-Server mithilfe manipulierter Daten zum Absturz zu bringen. Sobald sich ein Spieler auf einem Server einloggt, übermittelt der Client des Nutzers Informationen über den Inhalt des Inventars als Binärdaten. Durch Veränderungen an der lokal gespeicherten Datei ist es möglich, die Größe des gesendeten Datenpakets derart zu erhöhen, dass der Speicher des Servers beim Entpacken voll läuft und der Prozessor vollständig ausgelastet wird. Dies führt schließlich dazu, dass der Server abstürzt. Die genauen technischen Details könnt ihr bei Interesse in der Quelle nachlesen.

Laut Aussagen des Programmierers besteht das Problem bereits seit Version 1.6.2, die im Juli 2013 erschienen ist. Bereits kurz nach der Entdeckung habe er die Entwickler darauf aufmerksam gemacht und regelmäßig nachgefragt, ohne dass Mojang bislang darauf reagiert hätte. Askar zeigte sich daher entsprechend enttäuscht vom Verhalten des Teams:

Mojang ist nicht länger ein winziges Indie-Studio, das ein kleines Indie-Spiel macht. Ihre Software wird auf unzähligen Servern von hundertausenden Spielern genutzt. Sie haben die Verantwortung, solche Probleme vernünftig zu beseitigen. Außerdem wäre es angebracht, dass sie auf Nutzer, die sie über Fehler informieren und damit das Produkt, das sie lieben, verbessern wollen, eingehen und ihnen antworten – sonst könnten ambitionierte Entwickler schnell die Lust verlieren, weiter bei der Fehlerbeseitigung zu helfen.

Nachdem Askar den Fehler jetzt öffentlich gemacht und das Minecraft-Team erneut kontaktiert hat, arbeitet Mojang an einer Lösung. Mittlerweile wurde ein Patch veröffentlicht, der die Lücke schließen soll. Da viele Server jedoch Modifikationen verwenden, die inkompatibel zur aktuellen Version sind, bleibt das Problem für einen Großteil der Nutzer weiter bestehen. Rückblickend betrachtet er den Vorfall als Resultat mangelnder Kommunikation sowie ungenügender Software-Tests seitens der Entwickler und hofft, dass alle etwas daraus gelernt haben.

firstdeathmaker 17 Shapeshifter - P - 6602 - 17. April 2015 - 17:37 #

Schlechtes Verhalten seitens Mojang, dass sie erst was tun wenn der Sicherheitsforscher die Information öffentlich macht. Genau dafür kontaktieren verantwortungsvolle Hacker ja die Unternehmen...

Aber solange es nur um Abstürze geht, die kann man auch durch eine Dos-Attacke erzeugen.

Edit
Was mir gerade erst klar geworden ist: Die ganzen Modpacks haben jetzt ein gigantisches Problem. Es gibt kaum Mods die auf der aktuellen Minecraft-Version laufen und die Modpacks sind alle bei Version 1.7.x stehen geblieben, weil es zu große Änderungen gab und immer noch keine offizielle Modding API existiert wie Mojang versprochen hat.

Admiral Anger 24 Trolljäger - P - 48793 - 17. April 2015 - 18:00 #

Ja, genau das ist die Krux. Ich hab mal noch einen Satz dazu ergänzt.

Arparso 15 Kenner - 3025 - 17. April 2015 - 18:56 #

>> Genau dafür kontaktieren verantwortungsvolle Hacker ja die Unternehmen...

Aber genau das hat er doch gemacht? Im Juli 2013, um genau zu sein.

Admiral Anger 24 Trolljäger - P - 48793 - 17. April 2015 - 18:58 #

Das war auch wohl eher ein Vorwurf Richtung Mojang.

El Cid 13 Koop-Gamer - 1684 - 18. April 2015 - 9:40 #

Das stört mich auch. :/

Spiele mit meiner Freundin auch auf 1.7.10 - unter anderem deswegen. Aber auch, weil der Vanilla-Server unter 1.8 nicht stabil läuft. Der wirft uns immer so nach ein paar Minuten vom Server, bzw. stürzt einfach ohne Fremdwirkung ab.

Der 1.7.10 Server läuft hingegen stabil - also kein Grund, für meine Freundin & mich zu wechseln.

Gibt es nach dem Ende von Bukkit eigentlich weiterhin alternative Server? Fand Bukkit immer ziemlich geil..

Zottel 16 Übertalent - 4066 - 17. April 2015 - 23:04 #

Gut die Server können dadurch abstürzen. Daraus lässt sich jetzt aber nicht schließen inwieweit das ansonsten ein Sicherheitsrisiko darstellen soll.

Admiral Anger 24 Trolljäger - P - 48793 - 18. April 2015 - 1:01 #

Das Sicherheitsrisiko ist die Schwachstelle im Code, mit der man jeden beliebigen Server abschießen könnte. Keine Ahnung, wie du das sonst definieren würdest.

Boris 16 Übertalent - P - 4002 - 18. April 2015 - 8:04 #

Eine Moeglichkeit zum Denial of Service wird im Allgemeinen als Sicherheitsluecke betrachtet. Damit kann man ja z.B. Diensten ihre Geschaeftsgrundlage entziehen.

Allerdings ist Denial of Service natuerlich nicht so schwerwiegend wie Code-Ausfuehrung oder ein Auslesen von schuetzenswerten Daten.

Doomhammer 11 Forenversteher - 759 - 19. April 2015 - 8:13 #

Für sich alleine gesehen ist er sicher nur ärgerlich, aber in Kombination mit einem Exploit/Trojaner/Rootkit kann ich mir dadurch Zugang zu deinem Server verschaffen.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit
Larnak
Kreativ-Spiel
Kreativ-Baukasten
ab 6 freigegeben
7
Mojang Specifications
Mojang Specifications
18.11.2011 () • 17.12.2015 ()
Link
8.2
AndroidBrowseriOSLinuxMacOSPCPS3PS4PSVitaSwitchWiiUandere360XOne
Amazon (€): 34,80 (360), 36,45 (PS3), 29,99 (PlayStation 4), 17,04 (Xbox One), 23,95 (PC), 26,99 (WiiU)