ニュース
» 2015年04月17日 07時29分 UPDATE

「Minecraft」に放置された脆弱性? 発見者が攻撃実証コードを公開

発見者は2年近く前にMinecraftに報告したにもかかわらず、一向に脆弱性が修正されなかったとして、コンセプト実証コードの公開に踏み切った。

[鈴木聖子,ITmedia]
mnspval01.jpg 脆弱性報告者が公開した解説サイト

 人気ものづくりゲーム「Minecraft」に、細工を施したパケットを送り付けてサーバをクラッシュさせることができてしまう脆弱性が見つかったとして、発見者が自身のブログで4月16日に詳しい内容を公開した。開発元のMojangに2年近く前に報告したにもかかわらず、一向に問題が修正されなかったと訴えている。

 発見者のプログラマー、“Ammar Askar”氏のブログによると、Minecraftの仕組みを調べている際に、特定の細工を施したパケットを送り付けることによってサーバのメモリを消費し尽くさせ、クラッシュさせることができてしまう問題を発見した。

 脆弱性は、クライアントがサーバに対して特定のスロットに関する情報を送信できることや、NBTフォーマットに関する問題が組み合わさって存在しているという。Askar氏はGithubでコンセプト実証コードも公開した。

 同氏は2013年7月10日、開発元のMojangにこの問題を報告したが、その後対応状況を問い合わせても、「無視されるか、到底満足できない答えしか返ってこなかった」という。報告した当時のバージョンは1.6.2。現在の1.8.3に至るまで、この脆弱性は解決されないまま放置されているとAskar氏は主張する。

 同氏のブログの更新情報によれば、情報を公開したことによってMojangとの接触が可能になり、同社が対応に当たっていることを確認したという。「Mojangはこの問題を解決しようとしたが、私が提供したコンセプト実証コードに対するテストを行わなかったために、依然として同コードでサーバがクラッシュする状態が続いている」と同氏は報告している。

関連キーワード

Minecraft | 脆弱性


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -