Viele haben vielleicht schon am Rande mitbekommen, dass es in einer Java-Bibliothek zu einer kritischen Zero-Day-Sicherheitslücke gekommen ist. Betroffen von dieser Sicherheitslücke sind unter anderem Apple, Twitter, Steam, Amazon aber auch Minecraft.

Kurz erklärt!

Ein Zero-Day-Exploit ist eine Sicherheitslücke in einem System, welche dem Hersteller einer Software noch nicht bekannt ist – was vom Angreifer ausgenutzt wird. Der Hersteller erlangt erst dann Kenntnis über die Sicherheitslücke, wenn Angriffe entdeckt werden. Somit hat der Hersteller in der Regel keine Zeit, seine Kunden/Anwender im Vorfeld vor dem Ausnutzen der Sicherheitslücke zu schützen.

Was macht dieser jetzt bekannte Exploid?

Um nicht den Rahmen zu sprengen, erklären wir es ganz oberflächlich. Der “Angreifer” kann die Sicherheitslücke verwenden, um manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung zu schicken. Hierbei handelt es sich in der Regel um eine Zeichenkette (String) die ins Protokoll geschrieben wird, welche es dem Angreifer ermöglicht, verschiedene Java-Klassen aus dem Internet nach zu laden und so beispielsweise Systeme zu kompromittieren. In Bezug auf Minecraft wäre dies in der Theorie sogar mittels Chat möglich gewesen.

Was haben wir dagegen unternommen?

Wir haben die empfohlenen Anpassungen unserer Server vorgenommen. Hierbei haben wir uns aus verschiedenen Quellen bedient und auch geschaut, ob wir neben Minecraft andere Software verwenden, wo diese Sicherheitslücke auftreten könnte. Außerdem wurde geprüft, ob es bereits versuchte Angriffe gegeben haben könnte, was sich aber nicht bestätigte.

Das solltet Ihr tun!

Mojang gibt in einer offiziellen Mitteilung (unten verlinkt) Folgendes an:

If you play Minecraft: Java Edition, but aren’t hosting your own server, you will need to take the following steps: Close all running instances of the game and the Minecraft Launcher. Start the Launcher again – the patched version will download automatically.  

https://www.minecraft.net/de-de/article/important-message–security-vulnerability-java-edition?ref=launcher

Das bedeutet, dass ihr euren Launcher Updaten solltet. Dazu schließt Ihr einfach alles, was mit Minecraft zu tun hat und startet es neu. Die neue Version wird dann Automatisch herunter geladen.

Außerdem gibt es noch einen Hinweis auf eigene Launcher :

Modified clients and third-party launchers might not be automatically updated. In these cases, we recommend following the advice of your third-

https://www.minecraft.net/de-de/article/important-message–security-vulnerability-java-edition?ref=launcher

Hier wird drauf hingewiesen, dass Drittanbieter-Software (wozu neben Launchern auch Mods, Shader etc. gehören) nicht automatisch auf die neusten Versionen geupdatet werden und man sich gegebenenfalls beim jeweiligen Anbieter oder Entwickler erkundigen sollte.

Quellen / Begriffserklärungen:

Offizelle mitteilung von Mojang : Link
Eintrag National Vulnerability Database : Link (CVE-2021-44228)
Beitrag von Heise.de : Link
Technische Kompromittierung : Link