聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

研究人员指出,Squirrel 程序语言中存在一个界外读漏洞,可被攻击者用于攻破沙箱限制,在 SquirrelVM 中执行任意代码,从而使恶意人员访问底层机器。

该漏洞的编号为CVE-2021-42556。当游戏库 Squirrel Engine 用于执行不可信代码时触发该漏洞,影响 Squirrel 分支 3.x 和 2.x 版本。该漏洞在2021年8月披露。

Squirrel 是一种开源的基于对象的程序语言,用于为视频游戏、物联网设备和分布式交易处理平台如 Enduro/X撰写脚本。

研究员在报告中指出,“在真实场景下,攻击者可将恶意 Squirrel 脚本嵌入社区地图中并通过可信的 Steam Workshop 进行分发。当服务器机主下载并安装该恶意地图时,Squirrel 脚本就被执行,逃逸其虚拟机并控制服务器机器。”

该缺陷和定义 Squirrel 类时“通过索引混淆造成的界外访问”有关,可被用于劫持程序的控制流并完全控制 Squirrel 虚拟机。

虽然该缺陷已在9月16日推出的一个代码提交中解决,但值得注意的是这些变更并未包含在新的稳定版本即2016年3月27日发布的官方版本 v3.1中。强烈建议依赖于 Squirrel 的项目维护人员从源代码进行重构,应用最新修复方案,抵御攻击。

推荐阅读

Squirrelmail 1.4.22出现远程代码执行漏洞

Node.js TLSWrap 实现中的释放后使用漏洞分析

下载量达数百万次的NodeJS 模块被曝代码注入漏洞

GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击

原文链接

https://thehackernews.com/2021/10/squirrel-engine-bug-could-let-attackers.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Squirrel Engine 曝漏洞,可导致攻击者入侵游戏和云服务相关推荐

  1. 堪比“震网”:罗克韦尔PLC严重漏洞可导致攻击者在系统中植入恶意代码

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 罗克韦尔自动化公司的可编程逻辑控制器 (PLCs) 和工程工作站软件中存在两个新的安全漏洞(CVE-2022-1161 和 CVE-2022-1 ...

  2. 新漏洞可导致攻击者劫持Kindle

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今年4月初,亚马逊修复了Kindle 电子阅读器中的一个严重漏洞,可被滥用于控制用户设备,只需部署恶意电子书即可导致敏感信息遭泄露. Ch ...

  3. 推特安卓版漏洞可导致攻击者访问用户私信

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 推特表示修复了安卓版中的一个安全漏洞,它可导致攻击者访问用户的私人数据,如私信. 推特指出,"最近,我们发现并修复了安卓版推 ...

  4. GitHub Actions 漏洞可导致攻击者投毒开发管道

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  5. 多个Wyze 摄像头漏洞可导致攻击者接管设备并访问视频

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门 Wyze Cam 设备中存在三个漏洞,可导致恶意人员执行任意代码.访问摄像头并越权读取SD卡,而距离漏洞初次发现近3年后,越权读取SD卡的 ...

  6. GitLab 严重漏洞可导致攻击者窃取runner 注册令牌

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab Community 和 Enterprise Edition 均受严重漏洞 (CVE-2022-0735) 影响,它可导致攻击者窃 ...

  7. Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Linux 内核修复了一个高危漏洞 (CVE-2022-0492),它本可被滥用于逃逸容器,在容器主机上执行任意命令. 该缺陷存在于Linux ...

  8. 思科路由器高危漏洞可导致攻击者完全访问小企业网络

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科小企业路由器中存在一个高危漏洞 (CVE-2022-20827),可导致"有耐心和位置适当的攻击者"在受影响设备上实现未 ...

  9. Facebook Messenger 被曝漏洞,可导致恶意软件获得持续访问权限(详细分析)

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 新冠肺炎疫情不仅对我们的健康产生重大影响,而且对我们的社交生活.个人生活和工作亦是如此.它使我们保持物理距离和社交距离.在家工作并通过 ...

最新文章

  1. 调查报告:工人们并不担心将来会被AI取代
  2. python怎么保存文件代码_Python文件读写保存操作的实现代码
  3. OpenCV 在图像中寻找轮廓
  4. 与kylin_Kylin 迁移到 HBase 实践在小米的实践
  5. RenderSection
  6. [转载] Java之嵌套接口
  7. Nginx valid_referer 防盗链
  8. linux jdk1.8 32位下载永久地址,ubuntu,centos,java
  9. RHEL6配置yum源为网易镜像
  10. VBS QQ微信消息轰炸
  11. 分享一个聊天机器人接口API,很好用,智能,而且免费。
  12. flutter图片预览_flutter好用的轮子推荐四-可定制的图片预览查看器photo_view
  13. Excel函数 - 提取月份,转换月份格式
  14. vue 仿二手交易app_Vue全家桶仿闲鱼移动端App
  15. 学习笔记:C语言简介
  16. 1949. 坚定的友谊
  17. 计算机基础知识在教学的应用,计算机基础知识中项目教学法的应用
  18. 好用的平板触控笔,apple pencil的平替笔推荐
  19. “区块链技术创新要植根市场”
  20. 关于K8s中Pod调度[选择器,指定节点,主机亲和性]方式和节点[coedon,drain,taint]标记的Demo

热门文章

  1. IOS UITextField
  2. 光纤跳线的交叉连接注意点?
  3. CentOS 7.1.1503 varnish动静分离反代用户请求
  4. 理解 retain 、copy 、NSMutableString 、NSString 的用法
  5. $.ajax 简单记录
  6. contiki makefile框架分析 contiki学习之一
  7. SVN太旧,要更新问题
  8. 微软:推开窗户,我看到了云
  9. 比较高效的表格行背景变色及选定高亮JS
  10. python文件行数运行结果_python统计文件行数