Sivustojenvälisten komentosarjojen haavoittuvuus Origin-asiakasohjelmassa

Vakavuus: Tärkeä

CVSS-luokitus: 8.2

Vaikutus: Luvaton käsittely

Tila: Korjattu

Haavoittuvuudelle alttiit ohjelmat: Originin Mac- ja PC-versio 10.5.86 (ja aiemmat versiot)

CVE-tunnus: CVE-2020-15914

Kuvaus

Origin-asiakasohjelmassa on havaittu sivustojenvälisten komentosarjojen (cross-site scripting, XSS) haavoittuvuus, joka saattaa antaa etähyökkääjälle mahdollisuuden suorittaa mielivaltaisia JavaScript-komentoja kohdekäyttäjän Origin-asiakasohjelmassa. Hyökkääjä voisi saada käyttöönsä luottamuksellisia tietoja kohdekäyttäjän Origin-tilistä tai hallita tai valvoa Origin-chatikkunaa käyttämällä tätä haavoittuvuutta.

Hyökkäysskenaario

Hyödyntääkseen heikkoutta hyökkääjän on kirjauduttava Origin-asiakasohjelmaan käyttäen olemassa olevaa Origin-tiliä ja lähetettävä kohdejärjestelmään tietyllä tavalla luotu viesti Originin tekstichatissa. Viestin täytyy sisältää JavaScript-tietoja, jotka suoritetaan Origin-asiakasohjelmassa, kun ohjelma seuraavan kerran käynnistyy.

1. Jos viesti toimitetaan, mutta Origin-asiakasohjelma ei ole samaan aikaan käynnissä, tiedot suoritetaan, kun käyttäjä käynnistää Origin-asiakasohjelman seuraavan kerran.
2. Jos Origin-asiakasohjelma on jo käynnissä, kun viesti toimitetaan, tietoja ei suoriteta heti. Hyökkääjän on odotettava, että käyttäjä käynnistää Origin-asiakasohjelman uudelleen, tai saada käyttäjä muuten käynnistämään Origin-asiakasohjelman uudelleen.

Lievennykset

Lievennykset ovat tekijöitä, jotka pienentävät hyökkääjän mahdollisuuksia haavoittuvuuden onnistuneeseen hyödyntämiseen tai hyökkäyksen vaikutuksia.

• Hyökkääjän kohdejärjestelmälle lähettämät tiedot suoritetaan vasta, kun Origin käynnistyy kohdekäyttäjän järjestelmässä. Jos Origin on jo käynnissä kohdejärjestelmässä, hyökkääjän on saatava kohdekäyttäjä käynnistämään Origin-asiakasohjelma uudelleen tai odotettava, että käyttäjä käynnistää Origin-asiakasohjelman uudelleen.
• Hyökkääjä voi lähettää tekstichatissa viestejä vain tietylle käyttäjälle, jos käyttäjä on hyökkääjän ystäväluettelossa. Kohdistaakseen hyökkäyksen sattumanvaraiseen Origin-käyttäjään, joka ei ole hyökkääjän ystäväluettelossa, hyökkääjän on ensin saatava käyttäjä hyväksymään hänen Origin-ystäväpyyntönsä.

Kiertotavat

Kiertotapojen avulla EA-asiakkaat voivat pienentää potentiaalisen hyökkääjän mahdollisuuksia hyödyntää heikkoutta, jos he eivät voi tai halua asentaa päivitystä.

• Tälle haavoittuvuudelle ei ole kiertotapoja. Korjatakseen haavoittuvuuden pelaajien on seurattava tämän tiedotteen Ratkaisu-osiossa kerrottuja ohjeita.

Ratkaisu

Järjestelmänvalvojan oikeudet omaavien pelaajien kannattaa asentaa Origin-asiakasohjelman uusin versio 10.5.87.

Pelaajan on päivitettävä ohjelma seuraavan kirjautumisen yhteydessä, ennen kuin hän voi antaa kirjautumistietonsa. Jos pelaaja on jo kirjautunut sisään, hänen on käynnistettävä Origin uudelleen, jotta hän saa päivityksen.

Usein kysytyt kysymykset

Miten uhan vakavuus määritetään?

Uhan vakavuuden määrittämiseen käytetään nelitasoista luokitusasteikkoa. Turvallisuusinsinöörit määrittävät tutkimuksemme yhteydessä haavoittuvuuden hyödyntämisen vaikeuden ja sen, miten hyökkääjä pystyisi hyödyntämään heikkoutta. Yleensä mitä vähemmän esteitä haavoittuvuuden hyödyntämiseen on olemassa ja mitä suurempi siitä seuraava tietoturvavaikutus on, sitä korkeampi vakavuusluokitus uhalle määritetään. Lue lisää tietoturvavaikutusten ja -vakavuuden luokittelustamme täältä.

Mikä haavoittuvuuden aiheuttaa?

Tämän haavoittuvuuden aiheuttaa Origin-asiakasohjelman tapa renderöidä tekstichatin viestejä. Se antaa hyökkääjälle mahdollisuuden suorittaa mielivaltaisia JavaScript-komentoja kohdekäyttäjän Origin-asiakasohjelmassa www.origin.com-toimialueen alaisuudessa.

Voiko tätä haavoittuvuutta käyttää pelaajan Origin-tilin käyttämiseen tai varastamiseen?

Tämän haavoittuvuuden avulla ei ole mahdollista käyttää tai varastaa pelaajan Origin-tiliä tai käyttää todennettua Origin-asiakasohjelman istuntoa.

Mihin arkaluonteisin tietoihin tämä haavoittuvuus voi antaa pääsyn?

Tämän haavoittuvuuden avulla voi saada pääsyn pelaajan chatviestien sisältöön, pelaajan ystäväluetteloon, pelaajan saavutuksiin, pelaajan omistamien pelien luetteloon sekä pelaajan toivomuslistaan.

Mistä tiedän, onko järjestelmäni haavoittuvainen?

Jos järjestelmääsi on asennettu Origin-asiakasohjelman versio 10.5.86 tai aiempi, se on altis tälle uhalle.

Miten päivitys korjaa ongelman?

Päivitys toteuttaa asiakaspuolen ja palvelinpuolen sisällön siivoamisen ja validoinnin chatviesteissä lähetetyn ja vastaanotetun sisällön osalta.

Onko haavoittuvuutta käytetty EA:n asiakkaita vastaan?

Ei. Tämän tiedotteen julkaisemishetkellä tiedossa ei ole EA-pelaajiin kohdistuneita hyökkäyksiä, joissa tätä haavoittuvuutta olisi hyödynnetty.

Kiitokset

EA kiittää seuraavia tietoturvatutkijoita haavoittuvuuksien löytämisestä ja ilmoittamisesta haavoittuvuuskoordinointikäytäntöjen mukaisesti:

• Ahmed El-Monairy

Julkaistu 29. lokakuuta 2020

Versio: 1.0