Lo sviluppatore di videogiochi svedese Mojang Studios ha rilasciato un aggiornamento di sicurezza per Minecraft, dichiarando un emergenza. Un bug critico nella libreria di log Java Apache Log4j utilizzata dal client Java Edition e dai server multiplayer del gioco presenta una vulnerabilità molto grave.
Il codice dell’exploit è stato rilasciato per una grave vulnerabilità di esecuzione del codice in Log4j, un’utility open source utilizzata in innumerevoli app, comprese quelle utilizzate da grandi organizzazioni aziendali, secondo quanto riportato da diversi siti Web.
La notizia della vulnerabilità è emersa per la prima volta sui siti che si rivolgono agli utenti di Minecraft. I siti hanno avvertito che gli hacker potrebbero eseguire codice dannoso su server o client che eseguono la versione Java di Minecraft manipolando i registri. La situazione è diventata ancora più terribile quando Log4j è stato identificato come la fonte della vulnerabilità e il codice di exploit è stato pubblicato online.
La vulnerabilità Java non riguarda solo Minecraft
“La situazione di Minecraft è abbastanza caotica, ma sospettiamo che le applicazioni e i dispositivi interessati continueranno a essere identificati per molto tempo”, ha affermato HD Moore, fondatore e CTO della piattaforma della rete Rumble. “Questo è un grosso problema per gli ambienti legati ai runtime Java più vecchi: Vari dispositivi di rete, ambienti applicativi più antiquati che utilizzano API legacy e server i Minecraft, a causa della loro dipendenza dalle versioni precedenti per la compatibilità delle mod.” |
Stanno già emergendo rapporti di server che eseguono scansioni in tutta Internet nel tentativo di individuare i server vulnerabili.
@GreyNoise is currently seeing 2 unique IP’s scanning the internet for the new Apache Log4j RCE vulnerability (No CVE assigned yet).
— remy🐀 (@_mattata) December 10, 2021
A tag to track this activity on https://t.co/QckU3An40q will be made available shortly and linked as a reply when released.
Log4j è incorporato in una serie di framework popolari, tra cui Apache Struts2, Apache Solr, Apache Druid e Apache Flink. Ciò significa che un numero vertiginoso di app di terze parti potrebbe anche essere vulnerabile a exploit della stessa elevata gravità di quelli che minacciano gli utenti di Minecraft.
Cosa vuol dire per Minecraft?
Il forum di gioco di Spigot ha affermato che le versioni di Minecraft dalla 1.8.8 alla versione 1.18 più recente sono tutte vulnerabili, così come altri server di gioco popolari come Wynncraft. Il server di gioco e il sito di notizie di Hypixel, nel frattempo, ha invitato i giocatori di Minecraft a prestare particolare attenzione.
“Il problema può consentire l’accesso remoto al tuo computer tramite i server a cui accedi”, hanno scritto i rappresentanti del sito. “Ciò significa che qualsiasi server pubblico su cui accedi crea il rischio di essere hackerato”. |
La riproduzione degli exploit per questa vulnerabilità in Minecraft non è semplice perché la riuscita di quest’ultima dipende non solo dalla versione di Minecraft in esecuzione, ma anche dalla versione del framework Java su cui è in esecuzione Minecraft. Sembra che le versioni precedenti di Java abbiano meno protezioni di sicurezza e che facilitano gli exploit.
Venerdì 10 Dicembre, Minecraft ha lanciato una nuova versione del gioco che risolve la vulnerabilità.
Come proteggersi dalla vulnerabilità Java
Client Ufficiale
Se giochi a Minecraft: Java Edition, ma non stai hostando il tuo server, dovrai eseguire i seguenti passaggi:
• Chiudi tutte le istanze in esecuzione del gioco e Minecraft Launcher.
• Avvia di nuovo il Launcher: la versione patchata verrà scaricata automaticamente.
Client non-ufficiali e di terze parti
I client modificati e i launcher di terze parti potrebbero non essere aggiornati automaticamente. In questi casi, ti consigliamo di seguire i consigli del creatore del launcher che utilizzi. Se il provider non ha corretto la vulnerabilità o non ha dichiarato che è sicuro utilizzarlo per giocare, prendi coscienza del fatto che giocare potrebbe compromettere il tuo account.
Server da gioco
Se stai hostando il tuo server Minecraft: Java Edition, dovrai eseguire diversi passaggi a seconda della versione che stai utilizzando.
• 1.18: Aggiorna a 1.18.1, se possibile. In caso contrario, utilizzare lo stesso metodo della 1.17.x:
• 1.17: aggiungi le seguenti stringhe JVM alla riga di comando di avvio: -Dlog4j2.formatMsgNoLookups=true
• 1.12-1.16.5: Scarica questo file nella directory in cui viene eseguito il tuo server. Quindi aggiungi le seguenti stringhe JVM alla riga di comando di avvio: -Dlog4j.configurationFile=log4j2_112-116.xml
• 1.7-1.11.2: Scarica questo file nella directory in cui viene eseguito il tuo server. Quindi aggiungi le seguenti stringhe JVM alla riga di comando di avvio: -Dlog4j.configurationFile=log4j2_17-111.xml Le versioni inferiori alla 1.7 non sono affette da questo problema di sicurezza.
🤔 Come faccio ad entrare nel Discord di Minecraft Italia?🌍
È molto semplice, grazie a questo grande bottone sottostante potrete entrare nel Discord ufficiale di Minecraft.it!