Vakavuus: Tärkeä
CVSS-luokitus: 8.2
Vaikutus: Luvaton käsittely
Tila: Korjattu
Haavoittuvuudelle alttiit ohjelmat: Originin Mac- ja PC-versio 10.5.86 (ja aiemmat versiot)
CVE-tunnus: CVE-2020-15914
Kuvaus
Origin-asiakasohjelmassa on havaittu sivustojenvälisten komentosarjojen (cross-site scripting, XSS) haavoittuvuus, joka saattaa antaa etähyökkääjälle mahdollisuuden suorittaa mielivaltaisia JavaScript-komentoja kohdekäyttäjän Origin-asiakasohjelmassa. Hyökkääjä voisi saada käyttöönsä luottamuksellisia tietoja kohdekäyttäjän Origin-tilistä tai hallita tai valvoa Origin-chatikkunaa käyttämällä tätä haavoittuvuutta.
Hyökkäysskenaario
Hyödyntääkseen heikkoutta hyökkääjän on kirjauduttava Origin-asiakasohjelmaan käyttäen olemassa olevaa Origin-tiliä ja lähetettävä kohdejärjestelmään tietyllä tavalla luotu viesti Originin tekstichatissa. Viestin täytyy sisältää JavaScript-tietoja, jotka suoritetaan Origin-asiakasohjelmassa, kun ohjelma seuraavan kerran käynnistyy.
Lievennykset
Lievennykset ovat tekijöitä, jotka pienentävät hyökkääjän mahdollisuuksia haavoittuvuuden onnistuneeseen hyödyntämiseen tai hyökkäyksen vaikutuksia.
Kiertotavat
Kiertotapojen avulla EA-asiakkaat voivat pienentää potentiaalisen hyökkääjän mahdollisuuksia hyödyntää heikkoutta, jos he eivät voi tai halua asentaa päivitystä.
Ratkaisu
Järjestelmänvalvojan oikeudet omaavien pelaajien kannattaa asentaa Origin-asiakasohjelman uusin versio 10.5.87.
Pelaajan on päivitettävä ohjelma seuraavan kirjautumisen yhteydessä, ennen kuin hän voi antaa kirjautumistietonsa. Jos pelaaja on jo kirjautunut sisään, hänen on käynnistettävä Origin uudelleen, jotta hän saa päivityksen.
Usein kysytyt kysymykset
Miten uhan vakavuus määritetään?
Uhan vakavuuden määrittämiseen käytetään nelitasoista luokitusasteikkoa. Turvallisuusinsinöörit määrittävät tutkimuksemme yhteydessä haavoittuvuuden hyödyntämisen vaikeuden ja sen, miten hyökkääjä pystyisi hyödyntämään heikkoutta. Yleensä mitä vähemmän esteitä haavoittuvuuden hyödyntämiseen on olemassa ja mitä suurempi siitä seuraava tietoturvavaikutus on, sitä korkeampi vakavuusluokitus uhalle määritetään. Lue lisää tietoturvavaikutusten ja -vakavuuden luokittelustamme täältä.
Mikä haavoittuvuuden aiheuttaa?
Tämän haavoittuvuuden aiheuttaa Origin-asiakasohjelman tapa renderöidä tekstichatin viestejä. Se antaa hyökkääjälle mahdollisuuden suorittaa mielivaltaisia JavaScript-komentoja kohdekäyttäjän Origin-asiakasohjelmassa www.origin.com-toimialueen alaisuudessa.
Voiko tätä haavoittuvuutta käyttää pelaajan Origin-tilin käyttämiseen tai varastamiseen?
Tämän haavoittuvuuden avulla ei ole mahdollista käyttää tai varastaa pelaajan Origin-tiliä tai käyttää todennettua Origin-asiakasohjelman istuntoa.
Mihin arkaluonteisin tietoihin tämä haavoittuvuus voi antaa pääsyn?
Tämän haavoittuvuuden avulla voi saada pääsyn pelaajan chatviestien sisältöön, pelaajan ystäväluetteloon, pelaajan saavutuksiin, pelaajan omistamien pelien luetteloon sekä pelaajan toivomuslistaan.
Mistä tiedän, onko järjestelmäni haavoittuvainen?
Jos järjestelmääsi on asennettu Origin-asiakasohjelman versio 10.5.86 tai aiempi, se on altis tälle uhalle.
Miten päivitys korjaa ongelman?
Päivitys toteuttaa asiakaspuolen ja palvelinpuolen sisällön siivoamisen ja validoinnin chatviesteissä lähetetyn ja vastaanotetun sisällön osalta.
Onko haavoittuvuutta käytetty EA:n asiakkaita vastaan?
Ei. Tämän tiedotteen julkaisemishetkellä tiedossa ei ole EA-pelaajiin kohdistuneita hyökkäyksiä, joissa tätä haavoittuvuutta olisi hyödynnetty.
Kiitokset
EA kiittää seuraavia tietoturvatutkijoita haavoittuvuuksien löytämisestä ja ilmoittamisesta haavoittuvuuskoordinointikäytäntöjen mukaisesti:
Julkaistu 29. lokakuuta 2020
Versio: 1.0