Noticias: Una falla de seguridad descubierta en la edición de Java

Se descubrió una falla de seguridad en la edición Java de Minecraft este viernes por la mañana, una falla que permite a un atacante ejecutar código malicioso de forma remota. Mojang parcheó de inmediato la última versión 1.18.1 para corregir el problema, pero las versiones anteriores del juego todavía están potencialmente afectadas.

Una falla descubierta en la biblioteca log4j
El viernes por la mañana fue un terremoto que hizo temblar a una buena parte de los desarrolladores de Java en todo el mundo cuando nos enteramos del descubrimiento de una falla de «día cero» en la biblioteca log4j, que es utilizada por muchas aplicaciones Java en todo el mundo, y especialmente en Minecraft desde la versión 1.7.
Esta biblioteca se utiliza para administrar el registro de software, es decir, para generar informes con información diversa: mensaje de error, información de depuración, etc. Esta biblioteca permite simplificar la generación de estos logs, al permitir ingresar los parámetros a través de un simple archivo de configuración, de manera que se pueda elegir el tipo de mensaje a registrar, dónde guardar esta información, etc.

Pero este viernes nos enteramos de la existencia de una falla de día 0, es decir, una falla que aparentemente ya ha sido explotada (e incluso ampliamente explotada) por los atacantes y que aún no se corrigió en la biblioteca en el momento de su divulgación. La falla se describió como grave debido a su simplicidad de funcionamiento y su amplia distribución. La falla fue reparada muy rápidamente el viernes por la mañana por los creadores de la biblioteca, y Mojang también reaccionó muy rápido, ya que a las 5 a.m. lanzaron la nueva versión candidata 1.18.1-rc3 para incluir la versión corregida de log4j., Solo algunas horas antes del lanzamiento de la versión 1.18.1, que obviamente incluye el mismo parche.

¿Cuáles son los riesgos para los jugadores de Minecraft?
La falla descubierta permite a un atacante que conoce los mensajes registrados inyectar en estos registros una cadena de caracteres particular que será ejecutada por log4j. Más precisamente, estos son comandos de tipo jndi que podrían ejecutarse, lo que hace posible llamar a servicios como http, dns, LDAP, etc.

Pero para inyectar estos comandos en tus registros, debes conectarte contigo, por lo que la falla no te afectará si juegas solo. solo los jugadores que juegan en servidores multijugador podrían verse afectados.

Cuando se explota la falla, le permite al atacante acceder a una cierta cantidad de servicios alojados en la máquina del objetivo, pero en última instancia, todos estos servicios no son particularmente sensibles (por ejemplo, esto no traerá mucho a un atacante para cargar una página web en el computadora de la víctima). El servicio más sensible es el servicio LDAP, porque es el que administra las cuentas de los usuarios en las redes corporativas, pero ningún PC consumidor utiliza este tipo de servidor, por lo que aquí nuevamente el riesgo es mínimo.

Los propietarios de servidores también se ven afectados obviamente y, en última instancia, serán incluso más que los jugadores, porque es más probable que tengan un servicio LDAP accesible en la máquina (pero solo en estructuras con varios servidores, porque un servidor LDAP es inútil en un solo servidor). máquina).

Solo los reproductores de la edición Minecraft Java se ven afectados, la biblioteca log4j, como su nombre indica, solo está disponible para Java y, por lo tanto, la edición Bedrock no la utiliza.

Finalmente, a menos que sea un administrador de sistemas en una gran empresa y juegue Minecraft en modo multijugador en su estación de trabajo, el riesgo para usted es mínimo. La falla que ha sido calificada como grave es especialmente grave porque log4j es utilizado por muchas aplicaciones profesionales conectadas y accesibles en línea, lo que le da al atacante acceso directo a los servidores que ejecutan estos servicios y, por lo tanto, la posibilidad de hacerlo. Pero en el caso de Minecraft, los riesgos son mucho menos importantes.

¿Cómo protegerse de este defecto?
Mojang ha solucionado la falla en la versión 1.18.1 de Minecraft, por lo que se le recomienda encarecidamente que juegue en esta versión para evitar cualquier riesgo de ataque. ¿Oportunidad o voluntad? Mojang se cuidó de no cambiar el número de protocolo entre las versiones 1.18 y 1.18.1, lo que significa que debería poder jugar en un servidor de la versión 1.18 con su juego en la versión 1.18.1.

Si está jugando en una versión anterior de Minecraft, deberá tomar algunas precauciones adicionales:

• Para las versiones Alpha, Beta y Release 1.0.0 a 1.6: No hay problema porque Minecraft no usó log4j, por lo que no hay riesgo.
• Para las versiones 1.7 a 1.17, por otro lado, será necesario tomar más precauciones, solo use un lanzador que haya sido parcheado para corregir el problema. Por supuesto, el lanzador oficial de Mojang ya ha sido parcheado, solo tiene que relanzarlo para que se actualice e integre automáticamente el parche. Si está utilizando un lanzador alternativo, espere un anuncio oficial de los creadores de que su lanzador ha sido parcheado para corregir el problema.
• Y en todo caso Si está jugando a la versión 1.18.1 o si solo juega solo, no se verá afectado por este problema.

Para los propietarios de servidores multijugador, Mojang ofrece aquí algunos consejos para proteger su servidor de posibles ataques.

El lanzador NoticiasVideoJuegos.com ya está parcheado
Y precisamente, anuncio que hoy el lanzador de NoticiasVideoJuegos.com ha sido parcheado para corregir el problema, recuerde instalar la última actualización 1.13.1 para estar protegido.

Esta actualización también trae algunos otros cambios técnicos menores:

• Migración al marco .NET 4.6.1, por lo que no tiene que instalar nada más en Windows 10 (gracias a franswa por la sugerencia)
• Actualizar libs (json y zip)
• Eliminación de estado (porque Mojang cerró su API de estado)

Puede descargar el lanzador de NoticiasVideoJuegos.com haciendo clic aquí.