Gravité : Importante
Cote CVSS : 8,2
Risque : altération
État : Réparé
Logiciel touché : version 10.5.86 (ou antérieure) d’Origin pour Mac et PC
Référence CVE : CVE-2020-15914
Description
Une vulnérabilité de type script intersites (XSS) existe dans le client Origin et pourrait permettre à un pirate d’exécuter à distance un code JavaScript arbitraire dans le client Origin d’un utilisateur cible. Un pirate pourrait utiliser cette vulnérabilité pour accéder à des données sensibles liées au compte Origin de l’utilisateur cible, ou encore pour contrôler ou surveiller la fenêtre de clavardage texte d’Origin.
Scénario d’attaque
Pour exploiter efficacement la vulnérabilité, le pirate doit se connecter au client Origin à l’aide d’un compte Origin valide et utiliser la fonctionnalité de clavardage texte d’Origin pour envoyer un message spécialement conçu au système affecté. Le message contient une charge utile JavaScript qui s’exécutera dans le client Origin lors du prochain démarrage du client.
Limites
Les limites représentent les facteurs qui diminuent la probabilité qu’un pirate réussisse à exploiter la vulnérabilité ou encore l’impact qu’il peut avoir.
Solutions de contournement
Les solutions de contournement sont des mesures que les clients d’EA peuvent prendre pour réduire le risque qu’un pirate tire parti de la vulnérabilité s’ils ne peuvent pas ou choisissent de ne pas installer la mise à jour.
Résolution
Pour résoudre cette vulnérabilité, nous recommandons aux joueurs disposant des droits d’administrateur d’installer la version la plus récente du client Origin (10.5.87).
Lors de la prochaine connexion d’un joueur, celui-ci devra effectuer une mise à jour avant de saisir ses identifiants. S’il est déjà connecté, il devra redémarrer Origin pour obtenir la mise à jour.
Foire aux questions
Comment détermine-t-on la gravité des problèmes?
La gravité des problèmes est basée sur une échelle de 4 points, allant de « critique » à « basse ». Dans le cadre de nos enquêtes, les ingénieurs de la sécurité déterminent la facilité d’exploitation générale, et ce dont un pirate aurait besoin afin d’exploiter efficacement la vulnérabilité. En règle générale, la gravité est désignée comme étant plus élevée en présence de peu d’obstacles à l’exploitation et d’un impact élevé sur la sécurité. De plus amples renseignements sur la façon dont nous classons l’impact et la gravité des vulnérabilités de sécurité sont disponibles ici.
Quelles sont les causes de la vulnérabilité?
La vulnérabilité est causée par la méthode utilisée pour afficher les messages de clavardage texte par le navigateur Web du client Origin. Celle-ci permet à un pirate d’envoyer un code JavaScript arbitraire, qui s’exécutera sur le client Origin d’un utilisateur ciblé, sous l’autorité du domaine www.origin.com.
Est-ce que cette vulnérabilité peut être utilisée pour accéder au compte Origin d’un joueur ou le voler?
Cette vulnérabilité ne peut être utilisée pour accéder au compte Origin d’un joueur ou le voler, ni pour accéder à sa session authentifiée sur le client Origin.
Quelles données sensibles sont accessibles en raison de cette vulnérabilité?
Cette vulnérabilité peut être utilisée pour accéder au contenu des messages de clavardage du joueur, à sa liste d’amis, à ses succès, à sa liste des jeux possédés et à sa liste de souhaits.
Comment puis-je savoir si je suis vulnérable?
Si la version du client Origin 10.5.86 ou une version antérieure est installée sur le système, elle est vulnérable à ce problème.
Comment la mise à jour corrige-t-elle la vulnérabilité?
La mise à jour met en œuvre un nettoyage et une validation de contenu, côté client et côté serveur, sur le contenu des messages de clavardage texte envoyés et reçus.
Cette vulnérabilité a-t-elle été utilisée contre les clients d’EA?
Non. Au moment de la publication du présent avis, nous ne sommes pas au courant d’attaques réalisées contre des joueurs d’EA exploitant cette vulnérabilité.
Remerciements
EA remercie les chercheurs en sécurité suivants pour leur découverte et pour nous avoir l’avoir signalée, conformément aux pratiques en matière de divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure) :
Date de publication : 29 octobre 2020
Version : 1.0