Проверка качества кода рамочного движка Squirrel Engine выявила уязвимость, грозящую побегом из песочницы (VM) и захватом контроля над сервером. Проблема уже решена, но стабильная версия с патчем пока не вышла.
Скриптовый язык программирования Squirrel широко используется в видеоиграх и облачных сервисах для кастомизации и разработки плагинов. Так, фреймворк Squirrel Engine позволяет многомиллионной аудитории Portal 2 и Counter-Strike: Global Offensive создавать свои моды и карты и расшаривать их в сообществе. Сценарии Squirrel в ходу также на IoT-платформах (Electric Imp Cloud) и в распределенной обработке данных (Enduro/X).
Уязвимость CVE-2021-41556 в статической библиотеке Squirrel Engine обнаружили аудиторы из швейцарской компании SonarSource. Согласно описанию, первопричиной в данном случае является ошибка чтения за пределами выделенного буфера, которая возникает при исполнении недоверенного кода.
Проблема позволяет выйти за пределы виртуальной машины Squirrel и получить доступ к компьютеру, на котором она установлена. Злоумышленник может, к примеру, внедрить вредоносный Squirrel-скрипт в карту для CS:GO и выложить ее через Steam Workshop в общее пользование. Эксплойт отработает, когда кто-нибудь скачает зараженный предмет, и обеспечит автору атаки полный контроль над чужим сервером.
Наличие уязвимости подтверждено для Squirrel веток 2.x и 3.x (последняя официальная версия, 3.1, вышла в 2016 году). Авторы проекта Squirrel Engine внесли соответствующие изменения в исходный код на GitHub, но в стабильной ветке они пока не появились. Тем, кто полагается на такие скрипты, рекомендуется перекомпилировать свой продукт, используя опубликованные исправления.
