Vulnérabilité de type script intersites dans le client Origin
EASEC-2020-003
Gravité : Importante
Cote CVSS : 8,2
Risque : altération
État : Réparé
Logiciel touché : version 10.5.86 (ou antérieure) d’Origin pour Mac et PC
Référence CVE : CVE-2020-15914
Description
Une vulnérabilité de type script intersites (XSS) existe dans le client Origin et pourrait permettre à un pirate d’exécuter à distance un code JavaScript arbitraire dans le client Origin d’un utilisateur cible. Un pirate pourrait utiliser cette vulnérabilité pour accéder à des données sensibles liées au compte Origin de l’utilisateur cible, ou encore pour contrôler ou surveiller la fenêtre de clavardage texte d’Origin.
Scénario d’attaque
Pour exploiter efficacement la vulnérabilité, le pirate doit se connecter au client Origin à l’aide d’un compte Origin valide et utiliser la fonctionnalité de clavardage texte d’Origin pour envoyer un message spécialement conçu au système affecté. Le message contient une charge utile JavaScript qui s’exécutera dans le client Origin lors du prochain démarrage du client.
- Si le message est transmis et que le système n’exécute pas le client Origin à ce moment, la charge utile s’exécutera la prochaine fois que l’utilisateur exécutera le client Origin.
- Si le client Origin est déjà en cours d’exécution lorsque le message est transmis, la charge utile ne sera pas exécutée immédiatement. Le pirate doit attendre que l’utilisateur redémarre le client Origin, ou encore convaincre l’utilisateur de le redémarrer.
Limites
Les limites représentent les facteurs qui diminuent la probabilité qu’un pirate réussisse à exploiter la vulnérabilité ou encore l’impact qu’il peut avoir.
- La charge utile envoyée par le pirate au système affecté sera uniquement exécutée au moment du lancement d’Origin sur le système de l’utilisateur cible. Si Origin est déjà en cours d’exécution sur le système cible, le pirate doit convaincre l’utilisateur cible de redémarrer son client Origin, ou encore attendre que l’utilisateur le redémarre.
- Un pirate peut uniquement envoyer des messages de clavardage texte à un utilisateur particulier si l’utilisateur se trouve sur sa liste d’amis. Pour cibler un utilisateur Origin au hasard qui ne figure pas sur sa liste d’amis, le pirate doit d’abord convaincre l’utilisateur d’accepter une demande d’ajout à la liste d’amis sur Origin.
Solutions de contournement
Les solutions de contournement sont des mesures que les clients d’EA peuvent prendre pour réduire le risque qu’un pirate tire parti de la vulnérabilité s’ils ne peuvent pas ou choisissent de ne pas installer la mise à jour.
- Il n’existe pas de solution de contournement pour cette vulnérabilité. Pour résoudre cette vulnérabilité, les joueurs doivent suivre la démarche décrite dans la section Résolution du présent avis.
Résolution
Pour résoudre cette vulnérabilité, nous recommandons aux joueurs disposant des droits d’administrateur d’installer la version la plus récente du client Origin (10.5.87).
Lors de la prochaine connexion d’un joueur, celui-ci devra effectuer une mise à jour avant de saisir ses identifiants. S’il est déjà connecté, il devra redémarrer Origin pour obtenir la mise à jour.
Foire aux questions
Comment détermine-t-on la gravité des problèmes?
La gravité des problèmes est basée sur une échelle de 4 points, allant de « critique » à « basse ». Dans le cadre de nos enquêtes, les ingénieurs de la sécurité déterminent la facilité d’exploitation générale, et ce dont un pirate aurait besoin afin d’exploiter efficacement la vulnérabilité. En règle générale, la gravité est désignée comme étant plus élevée en présence de peu d’obstacles à l’exploitation et d’un impact élevé sur la sécurité. De plus amples renseignements sur la façon dont nous classons l’impact et la gravité des vulnérabilités de sécurité sont disponibles ici.
Quelles sont les causes de la vulnérabilité?
La vulnérabilité est causée par la méthode utilisée pour afficher les messages de clavardage texte par le navigateur Web du client Origin. Celle-ci permet à un pirate d’envoyer un code JavaScript arbitraire, qui s’exécutera sur le client Origin d’un utilisateur ciblé, sous l’autorité du domaine www.origin.com.
Est-ce que cette vulnérabilité peut être utilisée pour accéder au compte Origin d’un joueur ou le voler?
Cette vulnérabilité ne peut être utilisée pour accéder au compte Origin d’un joueur ou le voler, ni pour accéder à sa session authentifiée sur le client Origin.
Quelles données sensibles sont accessibles en raison de cette vulnérabilité?
Cette vulnérabilité peut être utilisée pour accéder au contenu des messages de clavardage du joueur, à sa liste d’amis, à ses succès, à sa liste des jeux possédés et à sa liste de souhaits.
Comment puis-je savoir si je suis vulnérable?
Si la version du client Origin 10.5.86 ou une version antérieure est installée sur le système, elle est vulnérable à ce problème.
Comment la mise à jour corrige-t-elle la vulnérabilité?
La mise à jour met en œuvre un nettoyage et une validation de contenu, côté client et côté serveur, sur le contenu des messages de clavardage texte envoyés et reçus.
Cette vulnérabilité a-t-elle été utilisée contre les clients d’EA?
Non. Au moment de la publication du présent avis, nous ne sommes pas au courant d’attaques réalisées contre des joueurs d’EA exploitant cette vulnérabilité.
Remerciements
EA remercie les chercheurs en sécurité suivants pour leur découverte et pour nous avoir l’avoir signalée, conformément aux pratiques en matière de divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure) :
Date de publication : 29 octobre 2020
Version : 1.0