松鼠引擎漏洞可能让攻击者入侵游戏和云服务

研究人员披露了Squirrel编程语言中的一个越界读取漏洞，攻击者可以利用该漏洞突破沙箱限制，在SquirrelVM中执行任意代码，从而让恶意参与者完全访问底层机器。

被追踪为CVE-2021-41556，当被称为松鼠引擎的游戏库被用于执行不受信任的代码并影响稳定发布分支3时，就会出现问题。x和2。松鼠的x。该漏洞在2021年8月10日被公开披露。

Squirrel是一种开源的面向对象编程语言，用于编写视频游戏脚本，也用于物联网设备和Enduro/X等分布式事务处理平台。

研究人员西蒙·斯坎内尔（Simon Scannell）和尼古拉斯·布雷特菲尔德（Niklas Breitfeld）在与《黑客新闻》（the Hacker News）分享的一份报告中说：“在现实世界中，攻击者可以将恶意松鼠脚本嵌入社区地图，并通过可信的Steam Workshop进行分发。”。“当服务器所有者下载并在其服务器上安装此恶意映射时，松鼠脚本将被执行，并从其VM中逃脱，并控制服务器机器。”

已识别的安全漏洞涉及在定义松鼠类时“通过索引混淆进行越界访问”，可利用该类劫持程序的控制流并获得对松鼠VM的完全控制。

虽然这个问题已经作为9月16日推出的代码提交的一部分得到了解决，但值得注意的是，新的稳定版本中没有包含这些更改，最后一个官方版本（v3.1）于2016年3月27日发布。强烈建议在项目中依赖Squirrel的维护人员应用最新的修复程序，从源代码中重建它，以防止任何攻击。