Sécurité

L’exploit de Minecraft qui facilitait le plantage des serveurs est corrigé

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Il s’avère qu’au cours des deux dernières années, vous pouviez planter un serveur Minecraft assez facilement. Un chercheur en sécurité publié l’exploit jeudi et a déclaré l’avoir découvert pour la première fois dans la version 1.6.2 en juillet 2013, il y a près de deux ans. Il affirme que Mojang l’a ignoré et n’a rien fait pour résoudre le problème, malgré ses tentatives répétées de suivre le protocole standard et de contacter l’entreprise en privé.

« Cette vulnérabilité existe sur presque toutes les versions précédentes et actuelles de Minecraft à partir de la 1.8.3 ; les paquets utilisés comme vecteurs d’attaque sont le 0x08 : Block Placement Packet et 0x10 : Creative Inventory Action », a écrit Ammar Askar. L’exploit tire parti de la façon dont un serveur Minecraft décompresse et analyse les données, et le fait générer « plusieurs millions d’objets Java, y compris des ArrayLists », manquant de mémoire et accélérant la charge du processeur dans le processus.

« Le correctif de cette vulnérabilité n’est pas vraiment si difficile, [as] le client ne doit jamais vraiment envoyer une structure de données aussi complexe que NBT de taille arbitraire et s’il le doit, une certaine forme de récursivité et de limites de taille doit être implémentée. Ce sont les correctifs que j’ai recommandés à Mojang il y a 2 ans. Askar a publié un preuve de concept de l’exploit à GitHub qui, selon lui, a été testé avec Python 2.7. Askar a depuis mis à jour son article de blog deux fois après avoir finalement pris contact avec Mojang. Ce qu’il dit confirme essentiellement que la société n’a pas testé un correctif revendiqué par rapport à sa preuve de concept, ou a menti sur le fait d’en avoir un en premier lieu.

Psssssst :  Le bootloader Galaxy S7 verrouillé de Samsung fait rage des acheteurs

Aujourd’hui, il semble que Mojang ait répondu (au moins indirectement) au message avec un patch. La société a annoncé aujourd’hui qu’elle sortie de la version 1.8.4: « Cette version corrige quelques problèmes de sécurité signalés, en plus de quelques autres corrections de bugs mineurs et ajustements de performances. »

Les notes de version ne font aucune mention directe de l’exploit dont Askar a parlé, et les commentaires sont fermés sur le post. Mais notamment, deux des correctifs répertoriés sont le bogue MC-79079, « Les clients malveillants peuvent forcer un serveur à se bloquer », et le bogue MC-79612, « Les clients malveillants peuvent forcer un serveur à sortir de la mémoire [sic]: »

Correctif de sécurité Microsoft Mojang Minecraft

Au moment d’écrire ces lignes, Askar n’a pas encore mis à jour son article de blog une troisième fois en reconnaissant le correctif et/ou en commentant s’il corrige l’exploit.

De retour en septembre, Microsoft a annoncé qu’il rachetait Mojang pour 2,5 milliards de dollars, avec le fondateur de la société Notch qui passe à autre chose. Le jeu est disponible sur toutes les principales plateformes, y compris PC, Mac, PS3, PS4, Xbox 360, Xbox One, iOS, Android, Windows Phone et Amazon Kindle Fire.

Bouton retour en haut de la page