Vulnerabilidad en el motor de Squirrel podría permitir a hackers piratear juegos y servicios en la nube

0

Una vulnerabilidad en Squirrel Engine podría permitir a los hackers piratear juego y servicios en la nube

Una vulnerabilidad en Squirrel Engine podría permitir a los hackers piratear juego y servicios en la nube

Investigadores de seguridad cibernética revelaron una vulnerabilidad de lectura fuera de los límites en el lenguaje de programación Squirrel, que los atacantes pueden abusar para eliminar las restricciones de la zona de pruebas y ejecutar código arbitrario dentro de un SquirrelVM, lo que brinda a un actor malintencionado acceso completo a la máquina subyacente.

Rastreada como CVE-2021-41556, la falla ocurre cuando una biblioteca de juegos denominada Squirrel Engine se utiliza para ejecutar código que no es de confianza y afecta las ramas de versión estable 3.x y 2.x de Squirrel. La vulnerabilidad se reveló de forma responsable el 10 de agosto de 2021.

Squirrel es un lenguaje de programación de código abierto orientado a objetos que se utiliza para crear scripts de videojuegos y también en dispositivos IoT y plataformas de procesamiento de transacciones distribuidas como Enduro/X.

«En un escenario del mundo real, un atacante podría incrustar un script Squirrel malicioso en un mapa de la comunidad y distribuirlo a través del Steam Workshop de confianza. Cuando el propietario de un servidor descarga e instala este mapa malicioso en su servidor, se ejecuta el script Squirrel, escapa de su VM y toma el control de la máquina del servidor», dijeron los investigadores Simon Scannell y Niklas Breitfeld en un informe compartido con Masterhacks.

El problema de seguridad identificado se refiere a un «acceso fuera de los límites a través de la confusión del índice» al definir clases de Squirrel que podrían explotarse para secuestrar el flujo de control de un programa y obtener el control total de la máquina virtual de Squirrel.

Aunque el problema ya se abordó como parte de una confirmación de código enviada el 16 de septiembre, cabe mencionar que los cambios no se han incluido en una nueva versión estable, con la última versión oficial (v3.1) lanzada el 27 de marzo de 2016.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *