游戏mod可以创建缓冲区溢出漏洞吗？

Question

我通常不会在论坛中发布，因为通常我可以找到我需要谷歌的任何答案。然而，我正在运行的每一个搜索都会给我一个非常特定的结果，例如已经存在于特定游戏或系统的缓冲区溢出漏洞，这不是我需要的。

我有一个家庭网络，包括Windows Server 2008 R2和我的儿子想开始一个Minecraft Server，我当然希望让他完全访问他可以学习。但是，我知道每场比赛都是“moddable”，他在很多游戏中使用自定义地图等。

我的担忧是我将根据缺乏经验的编程创建我的网络上的安全风险。由于可能的人实际编写Mods的可能性，将使他能够在我的服务器上安装和创建Mods的能力（在开放的MINECRAFT端口之外）或者做mods只是不那样工作，我找不到我的问题的答案，因为它是迟钝，没有人实际上是一个mod lol？

Answer 1

取决于Mod系统为游戏工作的方式，以及游戏本身是否被沙箱。重要的是，没有软件完全安全。您必须决定您对满足您满意的安全性和可靠性。

MOD可以揭露漏洞的方法：

1. 游戏可以允许Mod访问不恰当的允许操作集，例如访问文件系统。这可以包括开发人员不正确地沙盒。
2. Mod可以利用游戏API中的漏洞来访问游戏开发人员未打算的操作。这将是由于API中的错误。
3. MOD可以利用语言引擎中的漏洞（例如，Java具有悠久的安全漏洞历史悠久）。
4. Mod本身可能很容易攻击，并且可以在上面发射其中一个攻击。

如果mod系统是基于脚本或虚拟机的，例如lua，javascript或java，我会感觉到相对安全安装mods（只要游戏有一个很好的API / Sandbox），因为利用2-4相对不太可能。

（我对本机的理解代码mods / plugins是有限的，但我很确定如果要运行它，则必须信任原生mod。即使你这样做，它可能仍然是可利用。）

我对Minecraft Mods的理解是它们是用Java编写的。我对Mojang Guys的感觉是他们知道他们正在做什么，所以如果他们的Mod API没有特别设计和实施，我会感到惊讶。说过，安装Mods 必须引入安全风险。

如果这种风险是不可接受的，可以通过向系统引入深度来减少它。为什么不说，在虚拟机中运行您的MINecraft Server，对网络的有限访问（例如，仅需要端口）？这样脆弱性的影响大大减少了。

我建议在VirtualBox上创建一个Ubuntu VM（因为它们都像啤酒一样自由），但你可以将它安装在你舒服的任何操作上。

Answer 2

缓冲区溢出漏洞与允许未经检查的内存访问的编程语言相关联。MINECRAFT是用Java编写的，一种不容易受到缓冲溢出的语言，所以纯粹的Java Mod是非常不可能表现出类似这种漏洞的任何东西。

在Java中的自然程序仍然可以容易受到其他类型的安全问题，无论是对游戏本身（例如都有游戏帐户登录攻击MINECRAFT服务器）还是对手（我不知道任何已知的这是一个为MINECRAFT的案例，但它总是可能的）。如果可能的话，运行服务器的常用缓解适用，例如锁定对良好IPS的网络访问，运行服务器为有限的用户，依此类推。