Gravedad: Importante
Puntuación CVSS: 8.2
Impacto: Manipulación
Estado: Solucionado
Software afectado: Origin para Mac y PC versión 10.5.86 (o anterior)
CVE-ID: CVE-202 0-15914
Descripción
Existe una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el cliente de Origin que podría permitirle a un atacante remoto ejecutar JavaScript arbitrario en el cliente de Origin del usuario objetivo. Un atacante podría usar esta vulnerabilidad para acceder a datos sensibles relacionados con la cuenta de Origin del usuario objetivo, o bien para controlar o supervisar la ventana de chat de texto de Origin.
Escenario de ataque
Para aprovechar la vulnerabilidad, el atacante debe iniciar sesión en el cliente de Origin con una cuenta de Origin válida y usar la funcionalidad de chat de texto de Origin para enviar un mensaje elaborado especialmente para ese fin al sistema afectado. El mensaje creado contiene un paquete JavaScript que se ejecuta en el siguiente inicio del cliente de Origin.
Mitigaciones
Las mitigaciones describen factores que limitan la probabilidad de que un atacante aproveche la vulnerabilidad con éxito y el impacto de esta acción.
Soluciones
Las soluciones son pasos que los clientes de EA pueden tomar para reducir la posibilidad de que un atacante aproveche la vulnerabilidad si no pueden o no deciden instalar la actualización.
Resolución
Para abordar la vulnerabilidad, se recomienda a los jugadores con derechos de administrador que instalen la versión más reciente del cliente de Origin (versión 10.5.87).
En el siguiente inicio de sesión, se le solicitará al jugador que actualice antes de ingresar sus credenciales. Si ya inició sesión, deberá reiniciar Origin para recibir la actualización.
Preguntas frecuentes
¿Cómo se determina la gravedad del problema?
La gravedad del problema se basa en una clasificación de 4 niveles, cuya escala cubre la puntuación desde Crítica hasta Baja. Como parte de nuestra investigación, los ingenieros de seguridad determinan la facilidad de explotación en general y la forma en que un atacante tendría que explotar la vulnerabilidad con éxito. Por lo general, cuantas menos barreras existan para la explotación junto con un mayor impacto a la seguridad, mayor será la designación de gravedad del problema. Aquí puedes encontrar más información sobre cómo clasificamos el impacto en la seguridad y la gravedad del problema.
¿Qué causa la vulnerabilidad?
La vulnerabilidad se debe al método utilizado para renderizar los mensajes del chat de texto en el navegador web del cliente de Origin. Esto permite que un atacante suministre JavaScript aleatorio, el cual se ejecutará en el cliente de Origin del usuario objetivo bajo la autoridad del dominio www.origin.com.
¿Se puede usar esta vulnerabilidad para acceder a la cuenta Origin de un jugador o robarla?
Esta vulnerabilidad no se puede usar para acceder a la cuenta Origin de un jugador, robarla ni acceder a su sesión autenticada en el cliente de Origin.
¿A qué datos sensibles se puede acceder con esta vulnerabilidad?
Esta vulnerabilidad se puede usar para acceder al contenido de los mensajes del chat del jugador, a su lista de amigos, a sus logros, a la lista de juegos que tiene y a su lista de deseos.
¿Cómo sé si soy vulnerable?
Si tienes instalada en tu sistema la versión del cliente de Origin 10.5.86 o una anterior, eres vulnerable a este problema.
¿Cómo resuelve la vulnerabilidad la actualización?
La actualización implementa la limpieza y y validación, tanto del lado del cliente como del servidor, del contenido que se envía y recibe en los mensajes de chat de texto.
¿Se usó esta vulnerabilidad contra los clientes de EA?
No. Al momento de la publicación de este aviso, no tenemos conocimiento de ningún ataque contra los jugadores de EA que aproveche esta vulnerabilidad.
Reconocimiento(s)
EA agradece al siguiente investigador de seguridad por su descubrimiento y por informarnos de ello de acuerdo con las prácticas de Divulgación coordinada de vulnerabilidades:
Fecha de publicación: 29 de octubre de 2020
Versión: 1.0