Samarbejde med eksterne sikkerhedseksperter
Origin-sikkerhedsopdatering
Af Adrian Stone, Sr. Director, EA Product Security
10. december 2019
I dag blev en opdateret version af Origin-klienten udgivet for at løse et problem med en tidligere registreret sårbarhed i sikkerheden. Under særlige omstændigheder kunne problemet have gjort det muligt for en gyldig bruger med begrænsede tilladelser at få adgang på privilegeret niveau på computere, hvor Origin er installeret.
Opdateringen er allerede anvendt i Origin-klienten, og den kan også downloades direkte her. Vi har ikke set tegn på, at sårbarheden er blevet udnyttet, mens vi undersøgte og udviklede opdateringen.
Problemet blev oprindeligt rapporteret til os via vores program til indberetning af sårbarheder i produktsikkerheden. Vi vil gerne takke både Vasily Kravetz fra AMonitoring og Matt Nelson for deres tætte samarbejde gennem hele vores undersøgelse og udvikling af rettelsen i overensstemmelse med praksis for koordineret offentliggørelse af sårbarheder.
Vi har offentliggjort en sikkerhedsbulletin med yderligere oplysninger om sårbarheden og en hjælpeartikel, der beskriver opdateringen i nærmere detaljer.
Dette er et meget specifikt problem, og vi har oplevet, at det berører andre dele af spilindustrien. Vi mener derfor, at det kan være gavnligt at offentliggøre nogle yderligere oplysninger om baggrunden for problemet.
Eftersom mange af vores pc-spillere i Origin bygger gamer-pc'er og bruger avancerede bærbare computere til gaming, blev Origin-klienten udviklet med en formodning om, at alle brugere ville køre med powerfulde computere og kræve fuld administrativ kontrol over deres system til enhver tid. Siden da er der sket en forandring i branchestandarden. Flere mennesker, heriblandt visse spillere, bruger deres computer som en "begrænset" standardbruger. Nogle få opretter desuden konti til andre begrænsede brugere for at dele et system med mere end én person. Denne praksis, der kaldes "mindste privilegium" inden for computersikkerhed, er med til at begrænse potentielle sikkerhedsproblemers effekt på sikkerheden, hvis de skulle opstå. Leverandører af operativsystemer er for nylig begyndt at anerkende denne forandring og har foretaget ændringer i deres operativsystemer for at tage højde for det ændrede landskab.
Hvis en hacker skulle forsøge at udnytte denne sårbarhed, ville vedkommende være nødt til at logge ind på computeren med en gyldig brugerkonto uden administratorrettigheder. Hackeren skulle derefter installere et særligt fremstillet program eller eksekvere kode, der ændrer en del af softwaren, for at få adgang til et højere niveau.
Langt størstedelen af vores nuværende Origin-brugere har allerede adgang på administratorniveau og er den eneste brugerkonto på computeren (antallet af brugere uden adgang på administratorniveau er mindre end 5 % af vores samlede Origin-brugerbase). Dette gør det usandsynligt for de fleste brugere, at sårbarheden udnyttes, da den ikke ville give yderligere adgang eller rettigheder.
Selv om problemet kun ville have været til stede for et mindre antal spillere, der har installeret Origin-klienten, er det meget vigtigt for os at beskytte alle brugere, så vi er glade for, at vi har taget hånd om dette problem med denne opdatering og introduktionen af tilstanden Begrænset adgang. Vi er også forpligtede til at forbedre vores tilgang til principperne om mindste privilegium for Origin og tilstanden Begrænset adgang ud fra den viden, vi får fra fremtidige versioner. Positive interaktioner som denne mellem fællesskabet af sikkerhedseksperter og spiludgivere er med til at hæve sikkerhedsniveauet for alle.