Videogame Zone!

Lo sviluppatore Ammar Askar ha rivelato tramite il proprio blog personale un grave bug di minecraft che può portare al crash dei gameserver. Tale bug è stato scoperto nell'agosto 2013 - ovvero da Minecraft 1.6.2 dove è stato introdotto l'inventario dei giocatori sotto forma di file json - e lo scopritore ha più volte segnalato tale bug alla Mojang dal 2013 ad adesso e non è mai stato sistemato, lo sviluppatore ha quindi deciso di rendere pubblico l'exploit per forzare gli sviluppatori a correggere la falla, seguendo la politica comune di tutti gli scopritori professionisti di falle, come il Team di Internet Security di Google che rivela le falle scoperte dopo soli 90 giorni di preavviso alle aziende.
Potete trovare un esempio del funzionamento di tale exploit su github, nel git mantenuto da Askar. Tale exploit consente di far crashare qualunque server mandando in pieno carico la CPU del server e provocando un "out of memory" mandando richieste NBT - utilizzate per inviare informazioni basate sul formato json, come la scrittura dei libri e la gestione dell'inventario - con una struttura modificata per contenere multipli livelli arrivando a far processare al server richieste da 20-30MB alla volta con file compressi da circa 30kb. Perché tale exploit è possibile? Perché il codice dei server di minecraft non ha alcun sanize dei dati in ingresso o un limite ai livelli di ricorsione che l'interprete NBT dovrebbe seguire.
UPDATE: La Mojang ha rilasciato l'aggiornamento 1.8.4 di Minecraft, che corregge tale problema, riportato nel tracker come MC-79612 e MC-79079.