W ramach lipcowego Patch Tuesday Microsoft opublikował informację o CVE-2026-55010 - krytycznej podatności w Minecraft Bedrock Dedicated Server. Błąd to przepełnienie bufora na stercie (heap-based buffer overflow), które pozwalało atakującemu na zdalne wykonanie dowolnego kodu na serwerze bez konieczności logowania się czy posiadania jakichkolwiek uprawnień. CVSS wyniósł 9.8 na 10 - maksymalnie wysoki poziom krytyczności dla tego typu podatności.

Co dokładnie zawiodło w kodzie serwera

Bedrock Dedicated Server to oficjalne oprogramowanie serwerowe od Mojanga, na którym opiera się spora część prywatnych serwerów Bedrock Edition - zarówno małe społeczności znajomych, jak i większe sieci hostowane samodzielnie na VPS-ach czy własnych maszynach. Przepełnienie bufora w takim komponencie oznacza, że specjalnie spreparowany pakiet sieciowy wysłany do serwera mógł doprowadzić do nadpisania pamięci procesu i w efekcie przejęcia kontroli nad maszyną, na której serwer działa.

Analitycy z Zero Day Initiative skomentowali ten błąd krótko: to kolejny przepełnienie bufora na stercie z CVSS 9.8 i nieuwierzytelnionym RCE - dokładnie ta sama klasa zagrożenia, co w przypadku krytycznej infrastruktury sieciowej typu DHCP, tylko że tym razem dotyczy serwera, na którym gra czyjeś dziecko. Atak nie wymagał żadnej interakcji ze strony administratora ani logowania gracza - wystarczył dostęp sieciowy do otwartego portu serwera Bedrock (domyślnie UDP 19132). Kategoria „unauthenticated RCE” budzi największy niepokój wśród badaczy bezpieczeństwa, bo eliminuje jakąkolwiek barierę wejścia dla atakującego.

Dlaczego to ważne dla polskich graczy

Bedrock Edition jest szczególnie popularny wśród młodszych graczy i społeczności korzystających z konsol, telefonów oraz Windowsa - a to właśnie ci gracze najczęściej stawiają własne serwery do gry ze znajomymi, często bez większej wiedzy technicznej o zabezpieczaniu infrastruktury. Serwer Bedrock postawiony na domowym komputerze, routerze z przekierowanym portem albo tanim VPS-ie był przez ten błąd w pełni narażony na przejęcie - i to bez żadnego ostrzeżenia ze strony gry, że coś jest nie tak.

Microsoft w oficjalnym biuletynie zaznaczył, że luka została już w pełni zmitygowana, a użytkownicy nie muszą podejmować dodatkowych działań - co sugeruje, że poprawka została wdrożona centralnie po stronie usługi, a nie wyłącznie jako aktualizacja do pobrania. Mimo to administratorzy własnych, samodzielnie hostowanych serwerów Bedrock Dedicated Server powinni jak najszybciej zaktualizować oprogramowanie serwera do najnowszej wersji - szczególnie jeśli pobierali je ręcznie z minecraft.net, a nie korzystają z automatycznie aktualizowanych paneli hostingowych.

Część rekordowego Patch Tuesday

CVE-2026-55010 to tylko jedna z 570 luk (liczonych przez BleepingComputer; Zero Day Initiative naliczyło ich 621) załatanych w lipcowym Patch Tuesday Microsoftu - jednym z największych w historii tej comiesięcznej serii aktualizacji. W tej samej turze poprawek Microsoft usunął też trzy błędy typu zero-day, w tym aktywnie wykorzystywaną lukę eskalacji uprawnień w Active Directory Federation Services oraz krytyczny błąd w SharePoint Server. To, że Minecraft trafił do tego samego biuletynu bezpieczeństwa co serwerownie korporacyjne, pokazuje skalę infrastruktury, jaką Microsoft musi dziś utrzymywać wokół gry kupionej od Mojanga ponad dekadę temu.

Co zrobić, jeśli prowadzisz własny serwer

  • Zaktualizuj Bedrock Dedicated Server do najnowszej wersji pobranej z oficjalnej strony minecraft.net.
  • Jeśli korzystasz z hostingu zewnętrznego, sprawdź u dostawcy, czy aktualizacja została już wdrożona automatycznie.
  • Nie wystawiaj portu serwera na świat bez potrzeby - rozważ ograniczenie dostępu do znanych adresów IP, jeśli grasz w zamkniętym gronie.
  • Obserwuj kolejne komunikaty Mojanga i Microsoftu dotyczące bezpieczeństwa Bedrock Edition.

Źródła