Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo

20 octobre 2021 à 16h05
2
SonarSource Squirrel © SonarSource
© SonarSource

Une vulnérabilité a été découverte dans le langage de programmation Squirrel, utilisé notamment pour réaliser des mods et des maps dans certains jeux vidéo.

Si elle est exploitée par un attaquant, elle lui permettrait de prendre le contrôle de l'appareil de sa victime en créant un mod malveillant.

Une vulnérabilité permettant de prendre le contrôle d'une machine

Squirrel est un langage de programmation utilisé dans les VScripts. Ces derniers sont utilisés par les moddeurs dans la création de maps et de modes de jeu, notamment pour les titres de Valve qui utilisent le moteur de jeu Source. Ce langage, apprécié pour sa légèreté, est également utilisé pour des appareils connectés. Mais début août, les chercheurs de SonarSource y ont trouvé une vulnérabilité critique.

Pour la majorité des jeux utilisant Source, il est possible de télécharger de nouveaux modes de jeu ou des cartes sur le Steam Workshop. Lorsque l'on accède au contenu téléchargé en jeu, du code écrit en Squirrel est exécuté. Pour éviter que les machines des joueurs soient en danger, tout est exécuté dans une sandbox, c'est-à-dire un environnement isolé de la machine du joueur, afin de protéger son système d'exploitation . Mais les chercheurs ont découvert une vulnérabilité de type Out-Of-Bounds Read, permettant au script de « s'échapper » de la machine virtuelle et de s'exécuter directement sur l'ordinateur ou le serveur des utilisateurs.

Une vulnérabilité corrigée mi-septembre

Les chercheurs donnent comme exemple le cas d'une map communautaire contenant du code malveillant partagée sur le Steam Workshop. Celle-ci est téléchargée par un utilisateur, qui l'installe sur son serveur. Mais une fois le script Squirrel exécuté, et grâce à la vulnérabilité, il peut sortir des limites imposées par la sandbox et prendre le contrôle du serveur directement. La vulnérabilité est d'autant plus critique si elle est utilisée avec une autre, comme celle découverte dans CS: GO en janvier et corrigée depuis, qui permet à des attaquants d'exécuter du code à distance sur les machines de joueurs se connectant à un serveur malveillant.

Les chercheurs ont prévenu la personne en charge du projet le 10 août et un commit corrigeant la vulnérabilité a été poussé sur le répertoire GitHub du projet le 16 septembre. Cependant, les créateurs de projets utilisant Squirrel devront appliquer le correctif manuellement, le commit n'ayant pas été ajouté à une nouvelle version stable.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Cynian90
Foutus écureuils, ils bouffent les cables de ta bagnole et en plus ils vérolent ton PC. Ca tente personne des brochettes ?
Vanilla
Tu confonds avec les gremlins
Voir tous les messages sur le forum

Lectures liées

Stadia est maintenant disponible sur les TV LG ! Mais où en est le service de Cloud gaming ?
SCUF lance ses premières manette PS5 équipées de palettes
7 idées cadeaux en promotion pour Noël chez Amazon
Il n'y a plus que trois jeux incompatibles avec les processeurs Intel Alder Lake
La console Qualcomm / Razer qui avait fuité est un kit de développement pour soutenir le Snapdragon G3x Gen 1
Possesseurs d'un Chromebook, vous pourrez bientôt profiter de vos jeux Steam
Steam Deck : Valve dévoile le packaging de sa console
En Corée du Sud, pour avoir le droit de continuer de conduire, les seniors seront invités à repasser leur permis... sur un casque VR
Nintendo Switch : voici une belle offre à ne pas manquer avant Noël !
GeForce Now RTX 3080 est disponible en France, 20 jeux ajoutés au catalogue
Haut de page