Oktober-sikkerhedsopdatering til Origin

Af Adrian Stone, Sr. Director, EA Product Security, 29. oktober 2020

I dag har vi udgivet en opdateret version af Origin-klienten for at løse to alvorlige sikkerhedsproblemer. Begge problemer blev rapporteret til os via vores program til indberetning af sårbarheder i produktsikkerheden. Der var på intet tidspunkt tegn på, at sårbarhederne blev brugt mod vores kunder. Hvis du allerede har logget ind på Origin-klienten, er du sandsynligvis allerede blevet tilbudt opdateringen. Du kan også downloade den direkte her. Der er udgivet to sikkerhedsbulletiner med detaljerede oplysninger om de sikkerhedsproblemer, der er løst med opdateringen.

Det første problem (EASEC-2020-002) blev opdaget af Xavier Danest - Decathlon og Tom Wilson fra Nettitude. Dette problem gjorde det muligt for en gyldig bruger med begrænsede tilladelser at få adgang på privilegeret niveau på computere, hvor Origin er installeret. Hvis en hacker skulle forsøge at udnytte denne sårbarhed, ville vedkommende være nødt til at logge ind på computeren med en gyldig brugerkonto uden administratorrettigheder og overtale en administratorbruger til at køre en Origin-applikation med administratorrettigheder. Administratorbrugeren ville skulle godkende en prompt fra Kontrol af brugerkonti (UAC) for at gøre dette.

Denne udgivelse løser også et andet alvorligt problem i Origin (EASEC-2020-003), som blev opdaget af Ahmed El-Monairy. Det er en sårbarhed med scripting på tværs af websites (XSS), der kan gøre det muligt for en hacker at eksekvere vilkårligt JavaScript mod Origin-klientens venneliste. En hacker kunne udnytte denne sårbarhed til at få adgang til følsomme data eller til at styre eller overvåge tekstchatvinduet i Origin for det medlem af vennelisten, som angrebet er rettet mod.

Vi vil gerne takke eksperterne i sikkerhedsfællesskabet for deres rapporter om sårbarhederne og deres positive interaktioner med os i samarbejdet om at beskytte spillerne og det bredere spilfællesskab.