Un grave problema de seguridad se descubrió en Log4j, una popular y muy utilizada librería para registro de mensajes creada bajo el lenguaje de programación Java y que, entre otras plataformas y sistemas, afecta a Minecraft.
Esta vulnerabilidad (de nombre CVE-2021-44228) ha sido clasificada como severa, ya que según el registro de la organización CVE (Common Vulnerabilities and Exposures), “un atacante que puede controlar mensajes o parámetros de registro, también puede ejecutar código arbitrario que se carga desde otro servidor”.
Según explica el organismo de ciberseguridad del gobierno de Nueva Zelanda, la vulnerabilidad afecta a cualquier programa, servicio o sistema que utilice la librería Log4j en todas las versiones entre la 2.0 y la 2.14.1. Y peor todavía, también se indica que hay reportes de que actores maliciosos están intentando aprovechar esta vulnerabilidad y es probable que no con fines muy correctos.
Al momento de publicar este artículo, Apache ya había lanzado una primera corrección. La recomendación es, para quienes utilizan Log4j en sus sistemas, actualizar a la versión 2.15.0.
Ahora bien, este es un problema grave que afectará principalmente a grandes empresas que lo utilicen en sus sistemas. Entre otras, se ha mencionado que Apple, Twitter, Steam y Amazon están con un flanco de seguridad abierto y que deberán corregir apenas puedan.
Pero el caso de Minecraft es algo más complejo, al ser uno de los videojuegos más vendidos de la historia. Minecraft utiliza Log4j en su versión basada en Java y, por fortuna, desde Mojang ya lanzaron una actualización que evita el problema. Además, solicitan a todos los usuarios que juegan en computadora con la versión de Java que actualicen lo antes posible.
Player safety is the top priority for us. Unfortunately, earlier today we identified a security vulnerability in Minecraft: Java Edition.
The issue is patched, but please follow these steps to secure your game client and/or servers. Please RT to amplify.https://t.co/4Ji8nsvpHf
— Minecraft (@Minecraft) December 10, 2021
Aún es muy pronto para saber cuáles serán los reales alcances de esta vulnerabilidad que tiene a muchos expertos de seguridad en vilo.