我看不懂,能一句话解释发生了什么吗?
出了个 Bug,但开发者在有人利用这个 Bug 之前就修好了。
如果你之前将 PCL 的日志(不是 Minecraft 错误报告)发给了他人,请继续阅读 “我需要做什么?” 小节。
如果没有,更新一下 PCL,然后就没事了……
我需要做什么?
如果你不是使用离线登录,且已经将启动过游戏的,PCL 2.10.8 版本的日志 PCL/Log[1-5].txt 直接发给了他人,请删除/撤回你发送的文件。注意,发送 Minecraft 错误报告是安全的,只有直接发送日志纯文本文件才受影响。
之后,将程序更新至最新版即可。
我之前有可能已经受到了影响吗?
目前没有收到利用此漏洞的报告,所以应当没有影响。
由于 Minecraft 崩溃报告没有受到影响,而直接发送 PCL 日志的场景又相当罕见,潜在的影响应当极小。
详情
若启动游戏,PCL 日志 PCL/Log[1-5].txt 中会包含启动游戏时用到的 AccessToken。若将该日志文件发给他人,他人可以临时使用该次启动游戏时使用的账户进入无 2FA 的 Minecraft 服务器,或调整账户设置,直至 AccessToken 过期。
PCL 导出的 Minecraft 错误报告没有受到此漏洞影响。
原因
此前,PCL 会对所有 “MC 启动日志” McLaunchLog 进行打码,这可以保护 AccessToken 不遭到泄露。
但在 2.10.8 中,为便于修复 Bug,PCL 启动进程时会将进程的参数也写入日志。由于启动进程是底层函数,其日志信息并不属于 “MC 启动日志”,所以没有触发打码函数,导致了该漏洞出现。
PCL 在导出 Minecraft 错误报告时会对导出文件的所有内容再次进行打码,所以并未受到影响。
修复措施
已对所有日志进行打码,而不仅仅是启动日志。
我看不懂,能一句话解释发生了什么吗?
出了个 Bug,但开发者在有人利用这个 Bug 之前就修好了。
如果你之前将 PCL 的日志(不是 Minecraft 错误报告)发给了他人,请继续阅读 “我需要做什么?” 小节。
如果没有,更新一下 PCL,然后就没事了……
我需要做什么?
如果你不是使用离线登录,且已经将启动过游戏的,PCL 2.10.8 版本的日志
PCL/Log[1-5].txt直接发给了他人,请删除/撤回你发送的文件。注意,发送 Minecraft 错误报告是安全的,只有直接发送日志纯文本文件才受影响。之后,将程序更新至最新版即可。
我之前有可能已经受到了影响吗?
目前没有收到利用此漏洞的报告,所以应当没有影响。
由于 Minecraft 崩溃报告没有受到影响,而直接发送 PCL 日志的场景又相当罕见,潜在的影响应当极小。
详情
若启动游戏,PCL 日志
PCL/Log[1-5].txt中会包含启动游戏时用到的 AccessToken。若将该日志文件发给他人,他人可以临时使用该次启动游戏时使用的账户进入无 2FA 的 Minecraft 服务器,或调整账户设置,直至 AccessToken 过期。PCL 导出的 Minecraft 错误报告没有受到此漏洞影响。
原因
此前,PCL 会对所有 “MC 启动日志”
McLaunchLog进行打码,这可以保护 AccessToken 不遭到泄露。但在 2.10.8 中,为便于修复 Bug,PCL 启动进程时会将进程的参数也写入日志。由于启动进程是底层函数,其日志信息并不属于 “MC 启动日志”,所以没有触发打码函数,导致了该漏洞出现。
PCL 在导出 Minecraft 错误报告时会对导出文件的所有内容再次进行打码,所以并未受到影响。
修复措施
已对所有日志进行打码,而不仅仅是启动日志。