BOLETIM TEC - VULNERABILIDADE - BUG PERMITE INVASORES DE HACKEAR JOGOS EM NUVEM - SAMIR NEWS

 

*Bug do Squirrel Engine permite invasores de hackear jogos e serviços em nuvem

Os pesquisadores revelaram uma vulnerabilidade de leitura fora dos limites na linguagem de programação Squirrel que pode ser abusada por invasores para quebrar as restrições da sandbox e executar código arbitrário dentro de um SquirrelVM, dando assim a um agente malicioso acesso completo à máquina subjacente.

Rastreado como CVE-2021-41556 , o problema ocorre quando uma biblioteca de jogos chamada Squirrel Engine é usada para executar código não confiável e afeta os branches de versão estável 3.xe 2.x do Squirrel. A vulnerabilidade foi divulgada com responsabilidade em 10 de agosto de 2021.

Squirrel é uma linguagem de programação orientada a objetos de código aberto usada para scripts de videogames e também em dispositivos IoT e plataformas de processamento de transações distribuídas, como Enduro / X.

"Em um cenário do mundo real, um invasor poderia incorporar um script malicioso do Squirrel em um mapa da comunidade e distribuí-lo por meio do confiável Steam Workshop", disseram os pesquisadores Simon Scannell e Niklas Breitfeld em um relatório compartilhado com o Hacker News. "Quando um proprietário de servidor baixa e instala este mapa malicioso em seu servidor, o script Squirrel é executado, escapa de sua VM e assume o controle da máquina servidor."

A falha de segurança identificada diz respeito a um "acesso fora dos limites por meio de confusão de índice" ao definir as classes do Squirrel que podem ser exploradas para sequestrar o fluxo de controle de um programa e obter controle total do Squirrel VM.

Embora o problema tenha sido resolvido como parte de uma confirmação de código enviada em 16 de setembro, é importante notar que as alterações não foram incluídas em uma nova versão estável, com a última versão oficial (v3.1) lançada em 27 de março de 2016. Os mantenedores que dependem do Squirrel em seus projetos são altamente recomendados para aplicar as correções mais recentes, reconstruindo-o a partir do código-fonte para se proteger contra quaisquer ataques.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.