idNSA.id - Para peneliti telah menyampaikan kerentanan terhadap bahasa pemrograman Squirrel yang dapat disalahgunakan oleh penyerang untuk keluar dari batasan sandbox dan mengeksekusi kode arbitrer dalam SquirrelVM, sehingga memberikan akses penuh kepada aktor jahat ke mesin utama.
DIsebut sebagai CVE-2021-41556 , masalah terjadi ketika game yang disebut sebagai Squirrel Engine digunakan untuk mengeksekusi kode yang tidak terpercaya dan memengaruhi cabang rilis stabil 3.x dan 2.x dari Squirrel. Kerentanan diungkapkan secara bertanggung jawab pada 10 Agustus 2021.
Squirrel adalah bahasa pemrograman open-source berorientasi objek yang digunakan untuk membuat skrip video game dan juga di perangkat IoT dan platform pemrosesan transaksi terdistribusi seperti Enduro/X.
Cacat keamanan yang teridentifikasi menyangkut "akses di luar batas melalui kesalahan indeks" ketika mendefinisikan kelas Squirrel yang dapat dieksploitasi untuk membajak aliran kontrol suatu program dan mendapatkan kontrol penuh dari Squirrel VM.
Meskipun masalah telah diatasi sebagai bagian dari komit kode yang didorong pada 16 September, perlu dicatat bahwa perubahan tersebut belum disertakan dalam rilis stabil baru, dengan versi resmi terakhir (v3.1) dirilis pada 27 Maret 2016. Pengelola yang bergantung pada Squirrel dalam proyek mereka sangat disarankan untuk menerapkan perbaikan terbaru dengan membangunnya kembali dari kode sumber untuk melindungi dari serangan apapun.
