本帖最后由 ustc_zzzz 于 2018-4-19 18:09 编辑

你可能昨天已经在其他网站了解到了一些和下载Minecraft Java版皮肤有关的新闻，这些新闻指出，一个Minecraft Java版皮肤相关的漏洞可能会导致你的计算机感染病毒。

这个问题目前已经解决了，不过我们也应该在这里说说我们为保护Minecraft社区所做出的努力。

所有Minecraft Java版的玩家，都可以通过将他们PNG格式的图片上传到minecraft.net等网站的方式，自定义他们在游戏中的角色皮肤。不过，PNG格式的文件也可以包含一些位图之外的东西，比如说一些元数据可能会存储图片创作者等相关信息。也就是说，作为皮肤格式的PNG文件也可以包含有代码。不过，游戏本身不会执行这些代码。

由于杀毒软件会检查到图片中的代码并向你发出警告，因此代码本身不会自动执行。此外，即使你手动以代码的方式执行相关文件，你的计算机上的杀毒软件也应该会检查到病毒，并阻止进一步的行为。

不过，为了进一步地保护玩家，我们目前已经更新了我们的网站，其中所有上传的皮肤，位图本身之外的数据都会被抹除。

感谢你耐心阅读完这一声明，我们希望你已经明白事情的来龙去脉了！如果你还有什么问题，请进一步与我们联系。

原文链接：https://minecraft.net/zh-hans/ar ... -skins-issue-update

想请教一下是“谁”去执行了包含在皮肤文件中的恶意代码？

如果没有其他软件去执行的话，即使是powershell脚本也无法突然运行吧，这样的话这个漏洞有什么存在的价值呢？

我没有真正复现过这个漏洞，不过我推测是双击直接执行吧（如果双击不是查看PNG文件的话）
然后由于玩家信任从Mojang那里下载到的东西，所以会直接忽略杀毒软件的警告

所以皮肤都要重新上传？

从 mojang 获得的皮肤材质文件都会被存储为
.minecraft/assets/skins/xx/xxxxxxxxxx
也就是没有后缀名的文件....我并不觉得用户会去尝试用powershell打开这个东西..
如果是重命名用图片查看器之类的打开的话，我也只找到windows 2000的bug..

本帖最后由 yushijinhun 于 2018-4-19 19:05 编辑

受此安全漏洞影响的除了 Mojang 外，还有所有未对上传皮肤进行处理的皮肤站。
攻击的方式除了在客户端本地运行恶意代码外，还可以通过 content-type sniffing 在浏览器执行恶意代码（前提是返回的皮肤未指定 content-type）。
我在 authlib-injector 项目开了个 issue 专门跟踪此漏洞：https://github.com/to2mbn/authlib-injector/issues/10

咦，我发现你的勋章没了？？（逃

图片可以被做成压缩包文件等，应该在上传皮肤时压缩图片

只要不作死改图片格式然后运行就行了...

这个恶意代码也不知道是谁植入的