Originin lokakuun tietoturvapäivitys
Adrian Stone, vanhempi johtaja, EA Product Security, 29. lokakuuta 2020
Julkaisimme tänään päivitetyn version Origin-asiakasohjelmasta, jotta voimme puuttua kahteen vakavaan tietoturvahaavoittuvuuteen. Molemmista ongelmista ilmoitettiin meille luottamuksellisesti haavoittuvuusilmoitustyökalumme kautta. Missään vaiheessa ei ollut näyttöä siitä, että haavoittuvuuksia olisi käytetty asiakkaitamme vastaan. Jos olet jo kirjautunut sisään Origin-asiakasohjelmaan, sinulle on todennäköisesti jo ehdotettu sen päivittämistä. Päivityksen voi myös ladata suoraan täältä. Kahdessa turvallisuustiedotuksessa on julkaistu tietoja haavoittuvuuksista, jotka päivityksellä korjattiin.
Ensimmäisen ongelman (EASEC-2020-002) havaitsivat Xavier Danest Decathlonista ja Tom Wilson Nettitudesta. Haavoittuvuus antoi käyttäjälle, jolla on rajoitetut käyttöoikeudet, suuremmat käyttöoikeudet tietokoneisiin, joissa on Origin asennettuna. Jos hyökkääjä olisi yrittänyt hyödyntää tätä haavoittuvuutta, hänen olisi pitänyt kirjautua tietokoneelle käyttäen olemassa olevaa käyttäjätiliä, jolla ei ole järjestelmänvalvojan oikeuksia, ja vakuuttaa järjestelmänvalvoja suorittamaan Origin-sovellus tavallista korkeampitasoisilla oikeuksilla. Järjestelmänvalvojan olisi pitänyt hyväksyä käyttäjätilien valvonta, jotta tämä olisi onnistunut.
Tämä päivitys korjaa myös Originin toisen ongelman (EASEC-2020-003), jonka havaitsi Ahmed El-Monairy. Kyseessä on sivustojenvälisten komentosarjojen (cross-site scripting, XSS) haavoittuvuus, joka olisi voinut antaa etähyökkääjälle mahdollisuuden suorittaa mielivaltaisia JavaScript-komentoja Originin ystäväluetteloa vastaan. Hyökkääjä olisi voinut saada käyttöönsä luottamuksellisia tietoja tai hallita tai valvoa ystäväluettelon jäsenen Origin-chatikkunaa käyttämällä tätä haavoittuvuutta.
Haluamme kiittää tietoturvatutkimusyhteisöä haavoittuvuusilmoituksista ja positiivisista keskusteluista kanssamme. Teemme jatkuvasti yhteistyötä pelaajiemme ja laajemman peliyhteisömme suojelemiseksi.