Исследователи обнаружили уязвимость в языке Squirrel, которая позволяет читать данные за пределами выделенной области памяти (чтение за пределами выделенной области).
Это потенциально позволяет злоумышленникам выйти из «песочницы» и получить полный доступ к хосту.
Белка — это открытый объектно-ориентированный язык программирования, на котором пишутся сценарии для видеоигр, а также устройств Интернета вещей и платформ распределенной обработки транзакций, таких как Enduro/X. Этот вектор атаки становится актуальным, когда игровая библиотека Беличий двигатель используется для выполнения непроверенного кода.
Ээта уязвимость получила код CVE-2021-41556 и касается стабильных выпусков Squirrel 3.x и 2.x. Его выявили сотрудники SonarSource, опубликовав соответствующий быстрый во вторник 19 октября.
В нем исследователи Саймон Сканнел и Никлас Брейтфельд предложили реальный сценарий, в котором злоумышленник может встроить вредоносный скрипт Squirrel в одну из игровых карт сообщества, например для Counter Strike: Global Offensive, а затем распространить его через доверенный Steam. Репозиторий модов Мастерской.
«Когда владелец сервера загружает и устанавливает такую зараженную карту, встроенный скрипт выполняется, выходит за пределы виртуальной машины и берет на себя управление этим сервером».Технически обнаруженная уязвимость заключается в возможности «пересечения границы доступа из-за путаницы индексов» в определении классов Squirrel, которую можно использовать для перехвата потока управления программой и получения полного контроля над виртуальной машиной Squirrel. Сопровождающий репозитория Squirrel подтвердил эту проблему 10 августа 2021 г.– пишут исследователи.
«Отсюда становится возможным использовать другие уязвимости в стеке сетевых протоколов, направленные на подключение игроков к серверу».
и отправил ее 16 сентября.
совершить с необходимым патчем.
Однако внесенные изменения не были включены в новую стабильную версию, последняя стабильная версия которой (v3.1) была выпущена 27 марта 2016 года и до сих пор содержит, помимо других ранее обнаруженных дыр.
В связи с этим мейнтейнерам, использующим Squirrel в своих проектах, рекомендуется пересобрать последнюю версию из исходного кода, чтобы защитить пользователей от потенциальных атак.
Теги: #ruvds_news #информационная безопасность #Игры и игровые приставки #взлом #белка #steam
-
Отзыв Об Онлайн-Игры-Pepsi Man
19 Oct, 24 -
Гигантский Катаклизм На Солнце
19 Oct, 24 -
Telegram - Отпуск Не Заблокировать
19 Oct, 24 -
«Эротика К 1 Сентября!»
19 Oct, 24 -
Как Работает Разработка Обучающих Игр?
19 Oct, 24
