Squirrel Engine 曝漏洞,可导致攻击者入侵游戏和云服务
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员指出,Squirrel 程序语言中存在一个界外读漏洞,可被攻击者用于攻破沙箱限制,在 SquirrelVM 中执行任意代码,从而使恶意人员访问底层机器。
该漏洞的编号为CVE-2021-42556。当游戏库 Squirrel Engine 用于执行不可信代码时触发该漏洞,影响 Squirrel 分支 3.x 和 2.x 版本。该漏洞在2021年8月披露。
Squirrel 是一种开源的基于对象的程序语言,用于为视频游戏、物联网设备和分布式交易处理平台如 Enduro/X撰写脚本。
研究员在报告中指出,“在真实场景下,攻击者可将恶意 Squirrel 脚本嵌入社区地图中并通过可信的 Steam Workshop 进行分发。当服务器机主下载并安装该恶意地图时,Squirrel 脚本就被执行,逃逸其虚拟机并控制服务器机器。”
该缺陷和定义 Squirrel 类时“通过索引混淆造成的界外访问”有关,可被用于劫持程序的控制流并完全控制 Squirrel 虚拟机。
虽然该缺陷已在9月16日推出的一个代码提交中解决,但值得注意的是这些变更并未包含在新的稳定版本即2016年3月27日发布的官方版本 v3.1中。强烈建议依赖于 Squirrel 的项目维护人员从源代码进行重构,应用最新修复方案,抵御攻击。
推荐阅读
GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击
https://thehackernews.com/2021/10/squirrel-engine-bug-could-let-attackers.html
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Squirrel Engine 曝漏洞,可导致攻击者入侵游戏和云服务相关推荐
- 堪比“震网”:罗克韦尔PLC严重漏洞可导致攻击者在系统中植入恶意代码
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 罗克韦尔自动化公司的可编程逻辑控制器 (PLCs) 和工程工作站软件中存在两个新的安全漏洞(CVE-2022-1161 和 CVE-2022-1 ...
- 新漏洞可导致攻击者劫持Kindle
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今年4月初,亚马逊修复了Kindle 电子阅读器中的一个严重漏洞,可被滥用于控制用户设备,只需部署恶意电子书即可导致敏感信息遭泄露. Ch ...
- 推特安卓版漏洞可导致攻击者访问用户私信
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 推特表示修复了安卓版中的一个安全漏洞,它可导致攻击者访问用户的私人数据,如私信. 推特指出,"最近,我们发现并修复了安卓版推 ...
- GitHub Actions 漏洞可导致攻击者投毒开发管道
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 多个Wyze 摄像头漏洞可导致攻击者接管设备并访问视频
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门 Wyze Cam 设备中存在三个漏洞,可导致恶意人员执行任意代码.访问摄像头并越权读取SD卡,而距离漏洞初次发现近3年后,越权读取SD卡的 ...
- GitLab 严重漏洞可导致攻击者窃取runner 注册令牌
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab Community 和 Enterprise Edition 均受严重漏洞 (CVE-2022-0735) 影响,它可导致攻击者窃 ...
- Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Linux 内核修复了一个高危漏洞 (CVE-2022-0492),它本可被滥用于逃逸容器,在容器主机上执行任意命令. 该缺陷存在于Linux ...
- 思科路由器高危漏洞可导致攻击者完全访问小企业网络
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科小企业路由器中存在一个高危漏洞 (CVE-2022-20827),可导致"有耐心和位置适当的攻击者"在受影响设备上实现未 ...
- Facebook Messenger 被曝漏洞,可导致恶意软件获得持续访问权限(详细分析)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 新冠肺炎疫情不仅对我们的健康产生重大影响,而且对我们的社交生活.个人生活和工作亦是如此.它使我们保持物理距离和社交距离.在家工作并通过 ...
最新文章
- 调查报告:工人们并不担心将来会被AI取代
- python怎么保存文件代码_Python文件读写保存操作的实现代码
- OpenCV 在图像中寻找轮廓
- 与kylin_Kylin 迁移到 HBase 实践在小米的实践
- RenderSection
- [转载] Java之嵌套接口
- Nginx valid_referer 防盗链
- linux jdk1.8 32位下载永久地址,ubuntu,centos,java
- RHEL6配置yum源为网易镜像
- VBS QQ微信消息轰炸
- 分享一个聊天机器人接口API,很好用,智能,而且免费。
- flutter图片预览_flutter好用的轮子推荐四-可定制的图片预览查看器photo_view
- Excel函数 - 提取月份,转换月份格式
- vue 仿二手交易app_Vue全家桶仿闲鱼移动端App
- 学习笔记:C语言简介
- 1949. 坚定的友谊
- 计算机基础知识在教学的应用,计算机基础知识中项目教学法的应用
- 好用的平板触控笔,apple pencil的平替笔推荐
- “区块链技术创新要植根市场”
- 关于K8s中Pod调度[选择器,指定节点,主机亲和性]方式和节点[coedon,drain,taint]标记的Demo