跟踪为CVE-2021-41556,当使用称为Squirrel Engine的游戏库执行不受信任的代码并影响 Squirrel 的稳定版本分支 3.x 和 2.x时,就会出现此问题。该漏洞已于 2021 年 8 月 10 日负责任地披露。

Squirrel是一种开源、面向对象的编程语言,用于编写视频游戏以及物联网设备和分布式事务处理平台(如 Enduro/X)。

“在现实世界中,攻击者可以将恶意 Squirrel 脚本嵌入到社区地图中,并通过受信任的 Steam 创意工坊进行分发,”研究人员 Simon Scannell 和 Niklas Breitfeld在与 The Hacker News 分享的一份报告中说。“当服务器所有者下载并安装这个恶意地图到他的服务器上时,Squirrel 脚本就会被执行,逃离它的虚拟机,并控制服务器机器。”

已识别的安全漏洞涉及在定义 Squirrel 类时“通过索引混淆进行的越界访问”,这些类可被利用来劫持程序的控制流并获得对 Squirrel VM 的完全控制。

虽然该问题已作为9 月 16 日推送的代码提交的一部分得到解决,但值得注意的是,这些更改尚未包含在新的稳定版本中,最新的正式版本 (v3.1) 于 2016 年 3 月 27 日发布。强烈建议在项目中依赖 Squirrel 的维护人员通过从源代码重建它来应用最新的修复程序,以防止任何攻击。

觉得这篇文章有趣吗?在Facebook和Twitter 上关注 THN和LinkedIn以阅读我们发布的更多独家内容。

Squirrel Engine 攻击者 入侵 游戏 云服务
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接