La comunidad de Minecraft se está viendo azotada en las últimas horas por un grave problema de vulnerabilidad en sus servidores que está trayendo de cabeza a todos los componentes del título. Al parecer, este problema permitiría a cualquiera con las dotes de hackeo necesarias, acceder a los servidores del juego de Mojang y tumbarlos en un abrir y cerrar de ojos. Y es que al parecer la principal debilidad del servicio reside en la capacidad de los usuarios para enviar información al servidor a través de las ranuras del inventario.
Así lo explicaban desde el blog del desarrollador Ammar Askar, Ars Technica, aunque de una manera muy técnica. “La raíz del objeto, rekt, contiene 300 listas. Cada lista tiene una lista con 10 sub-listas, y cada uno de esos sublistas tiene 10 de los suyos, hasta 5 niveles de recursividad. Eso es un total de 10 ^ 5 * 300 = 30000000 listas “, explicó. “Y esto no es ni siquiera el máximo teórico para este ataque. Sólo los datos NBT para esta carga útil son de26,6 megabytes. Pero, por suerte, Minecraft implementa una forma de comprimir los paquetes grandes, ¡por suerte! Zlib encoge nuestros datos maliciosos a apenas 39 kilobytes“.
Askar ha destacado que no está muy conforme con haber tenido que revelar dicha vulnerabilidad, pero que no ha tenido más remedio al comprobar que Mojang no hacía nada al respecto. De hecho destaca que el problema surge cuando “se intenta analizar en NBT, lo cualcrea representaciones de Java de los objetos, algo que provoca que el servidor cree millones de objetos de Java incluyendo ArrayLists. Esto corre en el servidor sin memoria y provoca una tremenda carga de la CPU.”
¿Qué te parece este enorme problema de vulnerabilidad de Minecraft? ¿Crees que Mojangconseguirá solucionarlo antes de que llegue el caos al juego?
Fuente:https://www.alfabetajuega.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad