Závažnost: Důležitá
CVSS skóre: 8,2
Dopad: nepovolená manipulace
Stav: Opraveno
Ovlivněný software: Origin pro Mac a PC verze 10.5.86 (nebo starší)
CVE ID: CVE-2020-15914
Popis
V klientovi Originu existuje chyba zabezpečení skriptování mezi weby (XSS), která by mohla umožnit vzdálenému útočníkovi spustit u cílového uživatele libovolný JavaScript v klientovi služby Origin. Útočník mohl tuto chybu v zabezpečení využít k přístupu k citlivým údajům o účtu Origin cílového uživatele nebo k ovládání či sledování chatovacího okna Origin.
Útočný scénář
K úspěšnému zneužití této chyby se útočník musí přihlásit do klienta služby Origin prostřednictvím platného účtu Origin a přes chat odeslat speciálně vytvořenou textovou zprávu do postiženého systému. Vytvořená zpráva obsahuje JavaScript, který se spustí v klientovi Origin při jeho příštím otevření.
Omezení rizika
Omezení rizika popisuje faktory snižující pravděpodobnost či dopad útočníka ohledně úspěšného zneužití této chyby v zabezpečení.
Řešení
Zástupná řešení jsou kroky, které mohou zákazníci EA provést za účelem ztížit útočníkovi možnost zneužití této chyby, pakliže nemohou / se nerozhodnou nainstalovat aktualizaci.
Usnesení
Hráčům s administrátorskými právy se doporučuje nainstalovat nejnovější verzi klienta Origin – verzi 10.5.87.
Při příštím přihlášení bude dotyčný hráč vyzván před zadáním svých přihlašovacích údajů k nainstalování aktualizace. Pokud je už přihlášen, bude nutné Origin z důvodu nainstalování aktualizace restartovat.
Často kladené dotazy
Jak se určuje závažnost problému?
Závažnost problému se určuje podle čtyřstupňové klasifikace od kritické po nízkou. Součástí našeho šetření je stanovení celkové snadnosti zneužití chyby a postupu k úspěšnému zneužití chyby ze strany útočníka. Obecně platí, že čím méně překážek na cestě ke zneužití v kombinaci s vyšším dopadem na bezpečnost, tím vyšší bude stanovená závažnost problému. Více informací o tom, jak určujeme dopad na bezpečnost a závažnost, najdete zde.
Co způsobuje zranitelnost?
Tato chyba zabezpečení je způsobena metodou používanou k vykreslení textových zpráv chatu webovým prohlížečem klienta služby Origin. Útočníkovi umožňuje odesílat libovolný JavaScript, který bude spuštěn v klientovi Origin cílového uživatele pod správou domény www.origin.com.
Může být tato chyba zabezpečení zneužita k přístupu na hráčův účet Origin nebo k jeho krádeži?
Tuto chybu zabezpečení nelze zneužít k přístupu na hráčův účet Origin nebo k jeho krádeži ani k přístupu k ověřené relaci klienta služby Origin.
Jaké citlivé údaje jsou přístupné prostřednictvím této chyby zabezpečení?
Tuto chybu zabezpečení lze zneužít k přístupu k obsahu hráčových chatovacích zpráv, hráčově seznamu přátel, hráčových herních úspěchů, hráčově seznamu vlastněných her a hráčově seznamu přání.
Jak se dozvím, že jsem ohrožen?
Pokud je v systému nainstalovaný klient Origin verze 10.5.86 nebo dřívější, je touto chybou ohrožen.
Jak aktualizace tuto chybu řeší?
Aktualizace implementuje na straně klienta i serveru ošetření a ověření obsahu, který je odesílaný a přijímaný v textových zprávách přes chat.
Byla tato chyba zabezpečení využita proti zákazníkům společnosti EA?
Ne. V době zveřejnění tohoto upozornění si nejsme vědomi žádných útoků proti hráčům EA, které by zneužívaly tuto chybu.
Poděkování
EA děkuje následujícímu výzkumnému pracovníkovi za odhalení chyby a její nahlášení v souladu s postupy v rámci Koordinovaného zveřejňování informací o zranitelnosti produktů:
Datum publikace: 29. října 2020
Verze: 1.0