松鼠引擎Squirrel语言爆高危漏洞,可远程入侵游戏和云服务

松鼠引擎错误可能让攻击者破解游戏和云服务

研究人员披露了 Squirrel 编程语言中的越界读取漏洞,攻击者可以利用该漏洞突破沙箱限制并在 SquirrelVM 中执行任意代码,从而使恶意行为者可以完全访问底层机器。

该漏洞号为 CVE-2021-41556,当使用称为Squirrel Engine的游戏库执行不受信任的代码并影响 Squirrel 的稳定版本分支 3.x 和 2.x 时,会出现此问题。该漏洞已于 2021 年 8 月 10 日公开披露。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,Squirrel是一种开源、面向对象的编程语言,用于编写视频游戏以及物联网设备和分布式事务处理平台(如 Enduro/X)。

安全研究人员在报告中表示,在现实世界中,攻击者可以将恶意 Squirrel 脚本嵌入到社区地图中,并通过受信任的 Steam 创意工坊进行分发。当服务器所有者下载并安装这个恶意地图到他的服务器上时,Squirrel 脚本就会被执行,逃离它的虚拟机,并控制服务器机器。

已识别的安全漏洞涉及在定义 Squirrel 类时通过索引混淆进行的越界访问,该类可被利用来劫持程序的控制流并获得对 Squirrel VM 的完全控制。

虽然该漏洞已作为9 月 16 日推送的代码提交的一部分得到解决,但值得注意的是,这些更改尚未包含在新的稳定版本中,最新的正式版本 (v3.1) 于 2016 年 3 月 27 日发布。强烈建议在项目中依赖 Squirrel 的维护人员通过从源代码重建它来应用最新的修复程序,以防止安全攻击。

 

松鼠引擎Squirrel语言爆高危漏洞,可远程入侵游戏和云服务

极牛网精选文章《松鼠引擎Squirrel语言爆高危漏洞,可远程入侵游戏和云服务》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16709.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2021年10月17日 上午11:07
下一篇 2021年10月19日 上午11:21

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部