Von Adrian Stone, Sr. Director, EA Product Security – 29. Oktober 2020
Wir haben heute eine aktualisierte Version des Origin Clients zur Behebung von zwei Sicherheitslücken mit hohem Schweregrad veröffentlicht. Beide Probleme wurden uns über unser Programm zur Einreichung von Produktsicherheitslücken (Product Security Vulnerability Submission Program) vertraulich gemeldet. Zu keinem Zeitpunkt gab es Hinweise darauf, dass diese Sicherheitslücken gegen unsere Kunden eingesetzt wurden. Wenn Sie sich bereits beim Origin Client angemeldet haben, wurde Ihnen das Update wahrscheinlich bereits angeboten. Es kann auch direkt hier heruntergeladen werden. Zwei Sicherheitshinweise wurden mit Informationen zu den Sicherheitsanfälligkeiten veröffentlicht, die durch das Update behoben wurden.
Das erste Problem (EASEC-2020-002) wurde von Xavier Danest - Decathlon & Tom Wilson von Nettitude entdeckt. Das Problem erlaubt gültigen Nutzer mit eingeschränkten Berechtigungen privilegierten Zugriff auf Computer zu erhalten, auf denen Origin installiert ist. Sollte ein Angreifer versuchen, diese Sicherheitslücke auszunutzen, muss er sich mit einem gültigen, nicht-administrativen Benutzerkonto auf dem Computer anmelden und einen Administrator davon überzeugen, eine Origin-Anwendung mit erhöhten Rechten auszuführen. Der Administrator muss dafür einer Benutzerkostensteuerungsaufforderung zustimmen.
In dieser Version wird außerdem ein zweites Problem mit hohem Schweregrad bei Origin behoben (EASEC-2020-003), welches von Ahmed El-Monairy entdeckt wurde. Es handelt sich dabei um eine Sicherheitsanfälligkeit für Cross-Site-Scripting (XSS), die es einem entfernten Angreifer ermöglichen würde, beliebiges JavaScript gegen die Freundesliste des Origin Clients auszuführen. Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um auf vertrauliche Daten zuzugreifen oder das Origin-Text-Chat-Fenster eines Mitglieds auf der Freundesliste zu steuern oder zu überwachen.
Wir möchten der Sicherheitsexpertencommunity für die Einreichung der Sicherheitslücken und für die positiven Interaktionen mit uns danken, während wir gemeinsam daran arbeiten, die Spieler und die Gaming-Community zu schützen.