Un error de Squirrel Engine podría permitir a los atacantes piratear juegos y servicios en la nube

lenguaje de programación ardilla

Los investigadores han descubierto una vulnerabilidad fuera del lenguaje de programación Squirrel que los atacantes pueden explotar para romper las restricciones de cuarentena y ejecutar código arbitrario dentro de SquirrelVM, lo que permite a los actores maliciosos acceder por completo a la computadora base.

Supervisado como CVE-2021-41556, el problema ocurre cuando se usa una biblioteca de juegos llamada Squirrel Engine para ejecutar código que no es de confianza y afecta la versión estable de las ramas Squirrel 3.x y 2.x. La vulnerabilidad se descubrió responsablemente el 10 de agosto de 2021.

Squirrel es un lenguaje de programación orientado a objetos de código abierto que se utiliza para la creación de secuencias de comandos de videojuegos, así como para dispositivos IoT y plataformas de procesamiento de transacciones distribuidas como Enduro / X.

«En un escenario del mundo real, un atacante podría poner un script de Squirrel malicioso en un mapa de la comunidad y distribuirlo a través de un Steam Workshop de confianza», dijeron los investigadores Simon Scannell y Niklas Breitfeld en un informe compartido con The Hacker News. «Cuando el propietario del servidor descarga e instala este mapa malicioso en su servidor, el script de Squirrel se ejecuta, escapa de la máquina virtual y toma el control de la máquina del servidor».

La falla de seguridad identificada se refiere al «acceso inaccesible a través del desorden de índices» al definir las clases de Squirrel que podrían explotarse para robar el flujo de control del programa y obtener el control total de la máquina virtual Squirrel.

Aunque el problema se resolvió en una confirmación de código emitida el 16 de septiembre, vale la pena señalar que los cambios no se incluyeron en la nueva versión estable, con la última versión oficial (v3.1) lanzada el 27 de marzo de 2016. Los administradores que son en sus proyectos sobre Squirrel addicted, le recomendamos encarecidamente que aplique las últimas correcciones reconstruyéndolo a partir del código fuente para protegerse de cualquier ataque.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática