В Minecraft нашли критическую уязвимость: что известно

Дело в библиотеке, использующейся для логов.

Рано утром 10 декабря разработчики Minecraft сообщили о проблеме с безопасностью игры. Была найдена критическая уязвимость, позволявшая запускать на компьютерах игроков произвольный код.

Эксплойт был найден в библиотеке log4j, использующейся Minecraft для ведения логов. Для использования эксплойта хакеру достаточно отправить в чат специально сформированное сообщение.

Вот что известно об уязвимости и способах ее устранения:

• Если вы играете только в одиночном режиме без модов: можете особо не волноваться, но лучше все-таки обновите Minecraft так, как указано ниже.
• Если вы играете в актуальную версию Minecraft: закройте все экземпляры игры и перезапустите лаунчер. Должен автоматически скачаться патч, исправляющий эксплойт.
• Если вы экспериментируете с тестовыми билдами: установите релиз-кандидат версии 1.18.1.
• Если вы играете в Minecraft версии 1.16 или раньше: лучше немедленно прекратить. Разработчики не уточняют, когда выйдут патчи для старых версий.
• Если вы управляете сервером: добавьте к его параметрам запуска строчку -Dlog4j2.formatMsgNoLookups=true, это устранит эксплойт. При первой же возможности обновитесь до 1.18.1.
• Если вы используете Paper, Forge или Fabric: установите обновления, они уже выпущены разработчиками.

Потенциальным вектором атаки может быть любая интеграция, позволяющая писать сообщения в логи: например, с Discord. Пользоваться такими вещами стоит только на пропатченном сервере.

Сейчас разработчики Minecraft продолжают изучать ситуацию и выяснять масштабы проблемы. Предполагается, что уже выпущенный патч закрывает уязвимость в версиях 1.17+, игрокам с версией Minecraft ниже 1.12 рекомендуется пока воздержаться от игры.