Mojang corrige une vulnérabilité de Minecraft qui permettait aux joueurs de geler le jeu et de faire planter les serveurs

Mojang publie un correctif pour une vulnérabilité de Minecraft qui permettait aux joueurs de geler le jeu et de faire planter les serveurs

Les fans de la version PC populaire de Minecraft peuvent maintenant télécharger un nouveau correctif à partir d’aujourd’hui. La mise à jour corrige plusieurs bugs, y compris celui qui permet à n’importe quel joueur de geler le jeu ou de le faire planter. Mojang a révélé que la principale raison de la publication de la nouvelle mise à jour de Minecraft aujourd’hui était de répondre à une menace de sécurité reproductible qui avait été rendue publique.

La menace de sécurité reproductible a été d’abord présentée par le développeur basé au Pakistan, Ammar Askar, sur son blog deux jours auparavant, après avoir attendu exactement deux ans que Mojang réponde. Askar a d’abord découvert la vulnérabilité en juillet 2013, ce qui lui a permis de faire planter les serveurs de jeu Minecraft.

Askar a rapidement contacté Mojang afin que le studio puisse corriger le problème, cependant, Mojang n’a répondu qu’après qu’il ait envoyé un deuxième e-mail, mais jusqu’à la date de la publication du correctif ci-dessus, le bug était resté non corrigé.

Askar a abandonné de contacter Mojang après avoir envoyé deux messages supplémentaires. Maintenant, près de deux ans plus tard, il a décidé que le seul moyen d’attirer l’attention sur le problème était de le révéler ouvertement et d’espérer que Mojang serait contraint de répondre, ce qu’il a fait rapidement aujourd’hui en publiant le correctif juste après deux jours de publication du bug.

« La version du jeu lorsque la vulnérabilité a été signalée était 1.6.2, le jeu est maintenant à la version 1.8.3 », a-t-il écrit. « C’est exact, deux versions majeures et des dizaines de versions mineures et une vulnérabilité critique qui permet de faire planter n’importe quel serveur, et de priver les machines réelles de CPU et de mémoire a été autorisée à exister. »

L’exploit fonctionne en inondant les serveurs du jeu avec des informations sur un emplacement d’inventaire particulier. Askar a découvert qu’il était facile de créer un code que le jeu avait du mal à comprendre – au point où le serveur se plantait.

Les bugs corrigés dans ce correctif sont les suivants :

• Les animaux de compagnie suivent le spectateur
• Les vignes ne se propagent plus correctement dans les coins
• Certains caractères ne peuvent pas être tapés sur certaines dispositions de clavier (« AltGr » se comportant comme « Cltrl »)
• Les portails du Nether placent les joueurs devant le portail
• Duplication d’objets
• Les clients malveillants peuvent forcer un serveur à geler
• Les clients malveillants peuvent forcer un serveur à manquer de mémoire
• L’utilisateur (anciennement connu sous le nom d’olduser) a rejoint plusieurs fois

Le correctif peut être téléchargé ici.