游戏mods会产生缓冲区溢出漏洞吗？

Question

我通常不张贴在论坛，因为通常我可以找到任何答案，我需要使用谷歌。然而，我正在运行的每一个搜索都给出了非常具体的结果，例如针对特定游戏或系统已经存在的缓冲区溢出漏洞，这不是我所需要的。

我有一个家庭网络，包括Windows 2008 R2和我的儿子想要启动一个我的服务器，当然，我想让他完全访问，以便他可以学习。然而，我知道每个游戏都是“可调整的”，他在很多游戏中都使用定制地图等。

我担心的是，基于缺乏经验的编程，我将在我的网络上造成安全风险。会不会让他能够在我的服务器上安装和创建mods，可能会打开漏洞(在开放的“我的世界”端口之外)，因为人们可能缺乏实际编写mods的经验？或者，mods只是简单地不工作，我找不到答案，因为我的问题，因为它是智障，没有人真的编程一个mods？

Answer 1

这取决于游戏的mod系统的工作方式，以及游戏本身是否是沙箱。重要的是，没有一个软件是完全安全的。你必须决定你对安全和可靠性的满意程度。

国防部有几种方式可以暴露漏洞：

1. 游戏允许mod访问一组不适当的允许的操作，例如访问文件系统。这可以包括开发人员，而不是正确地沙箱模式。
2. 国防部可以利用游戏API中的漏洞来访问游戏开发人员无意中的操作。这将是由于API中的一个错误。
3. mod可以利用语言引擎中的漏洞(例如，Java有很长的安全漏洞历史)。
4. 国防部本身可能容易受到攻击，并可能被用来发动上述攻击之一。

如果mod系统是基于脚本或基于VM的，比如Lua、JavaScript或Java，我会觉得安装mods相对安全(只要游戏有一个很好的实现API/沙箱)，因为利用2-4是不太可能的。

(我对本机代码mods/plugins的理解是有限的，但我很确定如果要运行它，您必须信任本机mod。即使你这样做了，它也可能是可利用的。)

我对“我的世界”的理解是，它们是用java编写的。我对Mojang的感觉是，他们知道自己在做什么，所以如果他们的mod API没有非常好的设计和实现，我会感到惊讶。话虽如此，安装mods必然会带来安全风险。

如果这种风险是不可接受的，您可以通过向系统引入深度来降低风险。为什么不，比方说，在虚拟机中运行您的Min克拉夫特服务器，限制对网络的访问(例如，只需要端口)？这样，漏洞的影响就大大减少了。

我建议在VirtualBox上创建一个Ubuntu (因为它们都是免费的，就像啤酒一样)，但是您可以在任何您喜欢的操作系统上安装它。

Answer 2

缓冲区溢出漏洞与允许未经检查的内存访问的编程语言相关联。“我的世界”是用Java编写的，这是一种不容易受缓冲区溢出影响的语言，所以纯Java模式不太可能显示出类似于这种漏洞的任何东西。

当然，Java中的程序仍然容易受到其他类型的安全问题的影响，要么是针对游戏本身(例如，已经有针对我的服务器的游戏帐户登录攻击)，要么是针对服务器(我不知道有任何已知的“我的世界”的情况，但这总是可能的)。运行服务器的常用缓解措施也适用，例如，如果可能的话，锁定对好IP的网络访问，以有限用户的身份运行服务器等。