🚀 LES BONS PLANS DE NOËL ! 🚀 LES BONS PLANS DE NOËL !

Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo

20 octobre 2021 à 16h05
2
SonarSource Squirrel © SonarSource
© SonarSource

Une vulnérabilité a été découverte dans le langage de programmation Squirrel, utilisé notamment pour réaliser des mods et des maps dans certains jeux vidéo.

Si elle est exploitée par un attaquant, elle lui permettrait de prendre le contrôle de l'appareil de sa victime en créant un mod malveillant.

Une vulnérabilité permettant de prendre le contrôle d'une machine

Squirrel est un langage de programmation utilisé dans les VScripts. Ces derniers sont utilisés par les moddeurs dans la création de maps et de modes de jeu, notamment pour les titres de Valve qui utilisent le moteur de jeu Source. Ce langage, apprécié pour sa légèreté, est également utilisé pour des appareils connectés. Mais début août, les chercheurs de SonarSource y ont trouvé une vulnérabilité critique.

Pour la majorité des jeux utilisant Source, il est possible de télécharger de nouveaux modes de jeu ou des cartes sur le Steam Workshop. Lorsque l'on accède au contenu téléchargé en jeu, du code écrit en Squirrel est exécuté. Pour éviter que les machines des joueurs soient en danger, tout est exécuté dans une sandbox, c'est-à-dire un environnement isolé de la machine du joueur, afin de protéger son système d'exploitation. Mais les chercheurs ont découvert une vulnérabilité de type Out-Of-Bounds Read, permettant au script de « s'échapper » de la machine virtuelle et de s'exécuter directement sur l'ordinateur ou le serveur des utilisateurs.

Une vulnérabilité corrigée mi-septembre

Les chercheurs donnent comme exemple le cas d'une map communautaire contenant du code malveillant partagée sur le Steam Workshop. Celle-ci est téléchargée par un utilisateur, qui l'installe sur son serveur. Mais une fois le script Squirrel exécuté, et grâce à la vulnérabilité, il peut sortir des limites imposées par la sandbox et prendre le contrôle du serveur directement. La vulnérabilité est d'autant plus critique si elle est utilisée avec une autre, comme celle découverte dans CS: GO en janvier et corrigée depuis, qui permet à des attaquants d'exécuter du code à distance sur les machines de joueurs se connectant à un serveur malveillant.

Les chercheurs ont prévenu la personne en charge du projet le 10 août et un commit corrigeant la vulnérabilité a été poussé sur le répertoire GitHub du projet le 16 septembre. Cependant, les créateurs de projets utilisant Squirrel devront appliquer le correctif manuellement, le commit n'ayant pas été ajouté à une nouvelle version stable.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Cynian90
Foutus écureuils, ils bouffent les cables de ta bagnole et en plus ils vérolent ton PC. Ca tente personne des brochettes ?
Vanilla
Tu confonds avec les gremlins
Voir tous les messages sur le forum

Derniers actualités

Amnesty International piraté par un groupe chinois ?
Pour Noël, une tablette Samsung achetée, une offerte !
Découvrez le satellite MTG-I1, ce fleuron européen qui va nous donner la météo
La fibre à moins de 20€ ? C'est possible avec cette offre de Noël !
Cette entreprise relance le Minitel pour le connecter à Internet
Idée cadeau pour Noël : le jeu PS5 Returnal actuellement à -63% chez Amazon
Comment Proton entend déjouer la cybercensure russe grâce à son VPN
Peu de cartes, retards sur les custom : vers un lancement difficile pour les Radeon RX 7900 ?
Google Chromecast : un cadeau de Noël vraiment pas cher !
Condamnés par les smartphones ? Nikon et Panasonic arrêtent les compacts numériques
Haut de page