松鼠引擎Squirrel语言爆高危漏洞，可远程入侵游戏和云服务

研究人员披露了 Squirrel 编程语言中的越界读取漏洞，攻击者可以利用该漏洞突破沙箱限制并在 SquirrelVM 中执行任意代码，从而使恶意行为者可以完全访问底层机器。

该漏洞号为 CVE-2021-41556，当使用称为Squirrel Engine的游戏库执行不受信任的代码并影响 Squirrel 的稳定版本分支 3.x 和 2.x 时，会出现此问题。该漏洞已于 2021 年 8 月 10 日公开披露。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，Squirrel是一种开源、面向对象的编程语言，用于编写视频游戏以及物联网设备和分布式事务处理平台（如 Enduro/X）。

安全研究人员在报告中表示，在现实世界中，攻击者可以将恶意 Squirrel 脚本嵌入到社区地图中，并通过受信任的 Steam 创意工坊进行分发。当服务器所有者下载并安装这个恶意地图到他的服务器上时，Squirrel 脚本就会被执行，逃离它的虚拟机，并控制服务器机器。

已识别的安全漏洞涉及在定义 Squirrel 类时通过索引混淆进行的越界访问，该类可被利用来劫持程序的控制流并获得对 Squirrel VM 的完全控制。

虽然该漏洞已作为9 月 16 日推送的代码提交的一部分得到解决，但值得注意的是，这些更改尚未包含在新的稳定版本中，最新的正式版本 (v3.1) 于 2016 年 3 月 27 日发布。强烈建议在项目中依赖 Squirrel 的维护人员通过从源代码重建它来应用最新的修复程序，以防止安全攻击。