Minecraft(《我的世界》)出现一个漏洞,如果向游戏服务器发送可耗尽计算机处理能力的数据包解析,会导致服务器崩溃。
一名来自巴基斯坦的开发人员AmmarAskar表示,系统崩溃利用了玩家库(允许任意元数据存储)中的Minecraft物品功能漏洞。当游戏启动时,它会跟服务器通信并发送客户端可获得的物品。
复杂的系统生成容易解析难
Askar发现元数据以支持复杂数据结构(NBT)的形式存储,类似于JSON。通过创建不易被服务器处理的数据包,客户端能够导致服务器崩溃。他表示精心编制这样的一种数据包并不难,而且他已经在列表中创建了一种层次结构列表,共分5个层次。生成这种结构并不难,Askar创建的列表共有万个列表,大小为26.6MB。从效率方面来讲,这个存库数据在被发送至服务器之前便已被归档之后被解压,这意味着数据被服务器存储在了内存中。而解析这个结构证实导致崩溃的原因,因为创建Java形式的对象后,CPU加载会增加。
漏洞几乎已存在两年
Askar表示自己在年7月末便将漏洞报告给Minecraft的开发人员Mojang,同时还提交了POC;当时的游戏版本为1.6.2。公司回应称数据正在被处理。但随后与这名开发人员的沟通被忽略。年10月,Askar决定等待执行修复。然而,两个主要版本发布后,漏洞依然存在。
Askar周四披露了这个漏洞,他指出Mojang确实尝试提出修复方案当并未成功,因为他并没有依照POC测试。Askar指出,“错误配置的问题加上缺少测试导致目前的这种情况”。不过Askar并没有在披露漏洞前向公司发出警告。
受影响的Minecraft版本包括1.8.3版本以及之前几乎所有的早期版本。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士