محققان یک آسیب‌پذیری خوانش نامحدود را در زبان برنامه‌نویسی Squirrel افشا کرده‌اند که می‌تواند توسط مهاجمان مورد سواستفاده قرار گیرد تا از محدودیت‌های سندباکس خارج شده و کد دلخواه را در SquirrelVM اجرا کند و بدین ترتیب مهاجمان بتوانند دسترسی کاملی به دستگاه‌ها و تجهیزات زیرمجموعه پیدا کنند.

این مورد که با CVE-2021-41556 مطرح می‌شود، هنگامی رخ می‌دهد که لایبرری یک بازی به نام Squirrel Engine برای اجرای کد نامطمئن استفاده می‌شود و روی نسخه های Squirrel 3.x و 2.x پایدار تأثیر می‌گذارد. این آسیب‌پذیری توسط پشتیبانی این زبان در ۱۰ ماه آگوست سال ۲۰۲۱ فاش شده است.

زبان Squirrel، یک زبان برنامه‌نویسی متن باز و شی گرا است که برای اسکریپت‌نویسی بازی‌های ویدئویی و همچنین در دستگاه‌های اینترنت‌ اشیا یا IoT و پلتفرم‌های پردازش تراکنش‌های توزیع شده مانند Enduro/X استفاده می‌شود.

سیمون اسکنل و نیکلاس بریتفلد در گزارشی که با هکرنیوز به اشتراک گذاشتند، گفتند: "در یک سناریوی واقعی، مهاجم می‌تواند یک اسکریپت مخرب Squirrel را در مپ کامیونیتی جاسازی کرده و از طریق Steam Workshop مورد تأیید آنرا توزیع کند. وقتی صاحب سرور، این مپ مخرب را بارگیری و روی سرور خود نصب می‌کند، اسکریپت Squirrel اجرا می‌شود، از VM خود خارج می‌شود و کنترل دستگاه سرور را به طور کامل در دست می‌گیرد".

این نقص امنیتی شناسایی شده مربوط به "out-of-bound acces via index confusion" است و هنگام تعریف کلاس‌های Squirrel حادث می‌شود که می‌تواند برای سرقت جریان کنترل برنامه و به دست آوردن کنترل کامل Squirrel VM مورد سواستفاده قرار گیرد.

در حالی که این مسأله به عنوان بخشی از اجرای کد در ۱۶ ماه سپتامبر مطرح شده است، لازم به ذکر است که این تغییرات در نسخه جدید پایدار این زبان گنجانده نشده است، چرا که آخرین نسخه رسمی (v3.1) در ۲۷ مارس ۲۰۱۶ منتشر گردیده است. به نتیم‌های پشتیبانی و نگهداری که در پروژه‌های خود به زبان برنامه‌نویسی Squirrel وابسته هستند اکیدا توصیه می‌شود که آخرین اصلاحات را با بازسازی آن از طریق سورس کد، جهت محافظت در برابر هرگونه حمله احتمالی به کار گیرند.