MojangがMinecraftの脆弱性を修正、プレイヤーがゲームをフリーズさせたりサーバーをクラッシュさせることを可能にしていた

Mojangがプレイヤーがゲームをフリーズさせたりサーバーをクラッシュさせることを可能にしていたMinecraftの脆弱性のためのパッチをリリース

人気のPC版Minecraftのファンは、今日から新しいパッチをダウンロードできるようになりました。このアップデートは、ゲームをフリーズさせたりクラッシュさせたりすることを可能にするバグを含むいくつかのバグを修正します。Mojangは、今日の新しいMinecraftアップデートを推し進めた最大の理由は、公にされた再現可能なセキュリティ脅威に対処するためであると明らかにしました。

再現可能なセキュリティ脅威は、パキスタンの開発者Ammar Askarによって、Mojangが反応するのを正確に2年間待った後、彼のブログで2日前に初めて紹介されました。Askarは、Minecraftのゲームサーバーをクラッシュさせることを可能にする脆弱性を2013年7月に最初に発見しました。

Askarは、スタジオが修正できるようにMojangに迅速に連絡しましたが、Mojangは彼が2通目のメールを送信したときにのみ反応しましたが、上記のパッチのリリースまでの時点で、そのバグは修正されていませんでした。

Askarは、さらに2通のメッセージを送信した後、Mojangへの連絡を諦めました。今、ほぼ2年後、彼は問題に注目を集める唯一の方法はそれを公に明らかにし、Mojangが反応せざるを得ないことを望むことだと決定しました。そして、Mojangは今日、バグを公にした2日後にパッチをリリースすることで迅速に反応しました。

「脆弱性が報告されたときのゲームのバージョンは1.6.2で、現在のゲームはバージョン1.8.3です」と彼は書いています。「その通り、2つのメジャーバージョンと数十のマイナーバージョン、そして任意のサーバーをクラッシュさせ、実際のマシンのCPUとメモリを枯渇させる重大な脆弱性が存在することを許可されていました。」

このエクスプロイトは、特定のインベントリスロットに関する情報でゲームのサーバーを洪水のように満たすことによって機能します。Askarは、ゲームが理解するのに苦労するコードを作成するのが簡単であることを発見しました - サーバーがクラッシュするまでのポイントに達するまで。

このパッチで修正されたバグは以下の通りです：

• ペットが観客を追従する
• ツタが角で正しく広がらない
• 特定のキーボードレイアウトで特定の文字が入力できない（「AltGr」が「Ctrl」のように動作する）
• ネザーのポータルがプレイヤーをポータルの前に配置する
• アイテムの複製
• 悪意のあるクライアントがサーバーをフリーズさせることができる
• 悪意のあるクライアントがサーバーのメモリ不足を引き起こすことができる
• ユーザー（以前はolduserとして知られていた）が複数回参加したことを示す

パッチはここからダウンロードできます。