Par Adrian Stone, Directeur, Sécurité des produits EA, 29 octobre 2020
Une version mise à jour du client Origin a été publiée aujourd’hui pour résoudre deux vulnérabilités de sécurité importantes. Les deux situations nous ont été signalées de manière confidentielle par l’entremise de notre programme de signalement de vulnérabilité de sécurité de produits (Product Security Vulnerability Submission program). Rien n’indique que l’une ou l’autre des vulnérabilités ait été utilisée contre nos clients. Si vous avez déjà ouvert une session sur le client Origin, la mise à jour vous a probablement déjà été proposée. Elle peut aussi être téléchargée directement ici. Deux avis de sécurité ont été publiés avec des détails sur les vulnérabilités qui ont été traitées par la mise à jour.
Le premier problème (EASEC-2020-002) a été découvert par Xavier Danest de Decathlon et Tom Wilson de Nettitude. Ce problème permettait à un utilisateur valide, disposant d’autorisations limitées, de bénéficier d’un niveau d’accès privilégié sur des ordinateurs sur lesquels Origin est installé. Pour tenter d’exploiter cette vulnérabilité, un pirate aurait dû se connecter à l’ordinateur à partir d’un compte utilisateur valide sans droits d’administrateur et convaincre un utilisateur administrateur d’exécuter une application Origin avec ses privilèges élevés. L’utilisateur administrateur devait approuver une invite d’élévation du contrôle de l’utilisateur (UAC) pour ce faire.
La nouvelle version résout également un deuxième problème grave dans Origin (EASEC-2020-003), découvert par Ahmed El-Monairy. Il s’agit d’une vulnérabilité de type script intersites (XSS) permettant à un pirate d’exécuter à distance des codes JavaScript arbitraires contre la liste d’amis du client Origin. Un pirate aurait pu utiliser cette vulnérabilité pour accéder à des données sensibles ou pour contrôler ou surveiller la fenêtre de clavardage texte Origin du membre de la liste d’amis ciblé.
Nous tenons à remercier le milieu de la recherche en matière de sécurité pour ses signalements de vulnérabilité et pour son interaction positive avec nous, dans un esprit de collaboration visant à protéger les joueurs et la communauté du jeu vidéo dans son ensemble.