Por Adrian Stone, Director Sénior de Seguridad de Productos de EA. 29 de octubre de 2020
Hoy lanzamos una versión actualizada del cliente de Origin para corregir dos vulnerabilidades de seguridad de mucha gravedad. Recibimos informes confidenciales sobre ambos problemas a través del Programa de Informe de Vulnerabilidades para la Seguridad de Productos. No se registraron en ningún momento evidencias de que estas vulnerabilidades se usaran contra nuestros clientes. Si ya iniciaste sesión en el cliente de Origin, es probable que ya te hayan ofrecido la actualización. También se puede descargar directamente desde aquí. Se publicaron dos avisos de seguridad con detalles sobre las vulnerabilidades que se corrigieron en la actualización.
Xavier Danet (Decathlon) y Tom Wilson de Nettitude descubrieron el primer problema (EASEC-2020-002). Debido a este problema, un usuario válido con permisos limitados podía obtener acceso de nivel privilegiado en computadoras con Origin instalado. Si un atacante hubiese intentado explotar esta vulnerabilidad, habría necesitado iniciar sesión en la computadora con una cuenta válida de usuario no administrador y convencer a un usuario administrador para que ejecute una aplicación de Origin con privilegios elevados. El usuario administrador debería haber aprobado una solicitud de control de cuentas de usuario para hacerlo.
Con esta actualización, también se resuelve un segundo problema de mucha gravedad en Origin (EASEC-2020-003), que fue descubierto por Ahmed El-Monairy. Se trata de una vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) que podría permitir a un atacante remoto ejecutar JavaScript arbitrario contra la lista de amigos del cliente de Origin. Un atacante podría usar esta vulnerabilidad para acceder a datos sensibles o para controlar o supervisar la ventana del chat de texto de Origin de los miembros de la lista de amigos.
Queremos agradecer a la comunidad de investigación de seguridad por sus informes de vulnerabilidades y sus interacciones positivas a medida que trabajamos en conjunto para proteger a los jugadores y a la comunidad de los videojuegos en general.