Gravedad: importante
Puntuación de CVSS: 8,2
Impacto: manipulación
Estado: resuelta
Software afectado: Origin versión 10.5.86 (o anterior) para Mac y PC
ID de CVE: CVE-2020-15914
Descripción
Existe una vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) en el Cliente de Origin que podría permitir a un atacante remoto ejecutar JavaScript arbitrario en el Cliente de Origin del usuario objetivo. Un atacante podría utilizar esta vulnerabilidad para acceder a datos confidenciales relacionados con la Cuenta Origin del usuario objetivo o para controlar o supervisar la ventana del chat de texto de Origin.
Situación para el ataque
Para aprovecharse de la vulnerabilidad, el atacante debe iniciar sesión en el Cliente de Origin con una Cuenta Origin válida y utilizar la funcionalidad de chat de texto de Origin para enviar un mensaje de chat de texto personalizado al sistema afectado. El mensaje personalizado contiene una carga de JavaScript que se ejecutará en el Cliente de Origin cuando este se inicie.
Mitigaciones
Las mitigaciones describen factores que limitan la probabilidad de que un atacante saque partido de la vulnerabilidad y el impacto que esto pueda tener.
Solución
Las soluciones son pasos que los clientes de EA pueden tomar para reducir la posibilidad de que un atacante aproveche la vulnerabilidad si no pueden o eligen no instalar la actualización.
Resolución
Para hacer frente a la vulnerabilidad, recomendamos a los jugadores con derechos de administrador que instalen la última versión del Cliente de Origin, la 10.5.87.
En el siguiente inicio de sesión del jugador, este deberá actualizar antes de introducir sus credenciales. Si ya ha iniciado sesión, deberá reiniciar Origin para obtener la actualización.
Preguntas frecuentes
¿Cómo se determina la gravedad de los problemas?
La gravedad de los problemas se basa en una escala de 4 puntos que va de Crítico a Bajo. En el transcurso de la investigación, los ingenieros de seguridad determinan la facilidad de explotación y la forma en la que un atacante podría explotar la vulnerabilidad. Normalmente, cuantas menos barreras existan para la explotación en combinación con un mayor Impacto en la seguridad, más elevada será la designación de la Gravedad del problema. Aquí encontrarás más información sobre cómo clasificamos la gravedad y el impacto en la seguridad.
¿Qué causa la vulnerabilidad?
La vulnerabilidad deriva del método que utiliza el navegador web del Cliente de Origin para procesar mensajes de chat de texto. Esto permite al atacante proporcionar Javascript arbitrario, que se ejecutará en el Cliente de Origin del usuario objetivo con la autoridad del dominio www.origin.com.
¿Esta vulnerabilidad se puede utilizar para acceder a la Cuenta Origin de un jugador o robarla?
La vulnerabilidad no se puede utilizar para acceder a la Cuenta Origin de un jugador o robarla ni para acceder a la sesión autenticada del Cliente de Origin.
¿A qué datos confidenciales permite acceder esta vulnerabilidad?
La vulnerabilidad se puede utilizar para acceder al contenido de los mensajes de chat del jugador, su lista de amigos, logros, lista de juegos y lista de favoritos.
¿Cómo sé si soy vulnerable?
Si la versión del Cliente de Origin 10.5.86 o anterior está instalada en el sistema, tu equipo es vulnerable a este problema.
¿Cómo resuelve la actualización la vulnerabilidad?
La actualización implementa saneamiento del contenido del cliente y el servidor y validación del contenido que se envía y se recibe en mensajes de chat de texto.
¿Se ha utilizado esta vulnerabilidad contra los clientes de EA?
No. En el momento de la publicación de este aviso, no somos conscientes de ningún ataque contra los jugadores de EA que haya aprovechado esta vulnerabilidad.
Agradecimientos
EA agradece a los siguientes investigadores de seguridad por descubrir y comunicarnos este problema según las prácticas de Divulgación coordinada de vulnerabilidades:
Fecha de publicación: 29 de octubre de 2020
Versión: 1.0