在游戏开发工具RenderDoc中发现的三个漏洞

RenderDoc是一个支持多种操作系统的图形调试器，包括Windows、Linux、Android和Nintendo Switch。

该软件在游戏开发软件领域占有突出地位，因为它与领先的游戏软件引擎(如Unity和Unreal)无缝集成。

根据Qualys威胁研究单位(TRU)的网络安全专家的调查结果，已经确定了三个漏洞，包括一个特权升级实例和两个基于堆的缓冲区溢出。

这些漏洞中的第一个(跟踪CVE-2023-33865)是一个符号链接漏洞，可以被没有特权要求的本地攻击者利用，可能会授予他们RenderDoc用户的特权。

第二个漏洞(跟踪的CVE-2023-33864)涉及导致基于堆的缓冲区溢出的整数下溢。攻击者可以远程利用此漏洞在主机上执行任意代码。

第三个漏洞(跟踪CVE-2023-33863)是一个整数溢出，会导致基于堆的缓冲区溢出。尽管Qualys表示，到目前为止还没有人试图利用该漏洞，但远程攻击者可能会利用该漏洞在目标机器上运行任意代码。

Qualys漏洞研究经理赛伊德·阿巴西(Saeed Abbasi)解释说:“这三个漏洞清醒地提醒我们，在我们的数字世界里，需要时刻保持警惕。”

这位安全专家还强调，了解这些漏洞是加强公司防御的第一步。

Abbasi总结道：“Qualys强烈建议安全团队尽快为这些漏洞打补丁。”