Adrian Stone, director sénior de Seguridad de productos de EA, 29 de octubre de 2020
Hoy hemos publicado una versión actualizada del Cliente de Origin para solucionar dos vulnerabilidades de seguridad muy graves. Se nos informó de ambos problemas de forma confidencial mediante el programa de informes de vulnerabilidades del equipo de Seguridad de productos. No existen indicios de que ninguna de las vulnerabilidades se haya utilizado contra nuestros clientes. Si has iniciado sesión en el Cliente de Origin, es probable que ya te hayan ofrecido la actualización. También se puede descargar directamente aquí. Se han publicado dos advertencias de seguridad con información sobre las vulnerabilidades que se han solucionado con la actualización.
El primer problema (EASEC-2020-002), lo descubrieron Xavier Danest de Decathlon y Tom Wilson de Nettitude. El problema permitía a un usuario válido con permisos limitados obtener acceso con nivel de privilegio superior en los equipos con Origin instalado. Si un atacante intentara aprovecharse de esta vulnerabilidad, tendría que iniciar sesión en el equipo con una cuenta válida de un usuario no administrador y convencer a un usuario administrativo para que ejecutara una aplicación de Origin con privilegios elevados. El usuario administrativo debería aprobar una petición del control de Cuentas de usuario para hacerlo.
Esta versión también soluciona un segundo problema de gran gravedad de Origin (EASEC-2020-003), que descubrió Ahmed El-Monairy. Se trata de una vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) que podría permitir a un atacante remoto ejecutar JavaScript arbitrario contra la lista de amigos del Cliente de Origin. El atacante podría utilizar esta vulnerabilidad para acceder a datos confidenciales o para controlar o supervisar la ventana del chat de texto de Origin de los miembros de la lista de amigos.
Queremos dar las gracias a la comunidad de investigación de seguridad por informarnos de las vulnerabilidades y por sus interacciones positivas con nosotros en el esfuerzo común de proteger a los jugadores y a la comunidad de juegos en general.