由 dawei
研究人员披露了 Squirrel 编程语言中的越界读取漏洞,攻击者可以利用该漏洞突破沙箱限制并在 SquirrelVM 中执行任意代码,从而使恶意行为者可以完全访问底层机器。
该漏洞号为 CVE-2021-41556,当使用称为Squirrel Engine的游戏库执行不受信任的代码并影响 Squirrel 的稳定版本分支 3.x 和 2.x 时,会出现此问题。该漏洞已于 2021 年 8 月 10 日公开披露。
根据网络安全行业门户极牛网JIKENB.COM的梳理,Squirrel是一种开源、面向对象的编程语言,用于编写视频游戏以及物联网设备和分布式事务处理平台(如 Enduro/X)。
安全研究人员在报告中表示,在现实世界中,攻击者可以将恶意 Squirrel 脚本嵌入社区地图中,并通过受信任的 Steam 创意工坊进行分发。当服务器所有者下载并安装这个恶意地图到他的服务器上时,Squirrel 脚本就会被执行,逃离它的虚拟机,并控制服务器机器。