Niveau de gravité : importante
Score CVSS : 8,2
Risque : altération
Statut : résolu
Logiciel concerné : versions 10.5.86 ou antérieures d’Origin pour Mac et PC
Identifiant CVE : CVE-2020-15914
Description
Une vulnérabilité de type cross-site scripting (XSS) est présente dans le client Origin. Elle pourrait permettre à un attaquant distant d’exécuter un code JavaScript arbitraire dans le client Origin d’un utilisateur cible. L’attaquant pourrait utiliser cette vulnérabilité pour accéder aux données sensibles associées au compte Origin de l’utilisateur cible, ou pour contrôler ou surveiller la fenêtre de chat d’Origin.
Scénario d’attaque
Pour tirer parti de la vulnérabilité, l’attaquant doit se connecter au client Origin à l’aide d’un compte Origin valide et utiliser le chat pour envoyer un message spécialement conçu au système concerné. Ce message contient une charge utile JavaScript qui s’exécutera dans le client Origin lors de son prochain démarrage.
Limitations
Les limitations décrivent les facteurs limitant la probabilité ou l’impact de l’exploitation de la vulnérabilité par un attaquant.
Solution alternative
Il s’agit de la procédure que les clients EA peuvent suivre pour réduire les risques qu’un assaillant tire parti de la vulnérabilité s’ils ne peuvent pas ou ne souhaitent pas installer la mise à jour.
Résolution
Pour corriger la vulnérabilité, nous conseillons aux utilisateurs disposant des droits Administrateur d’installer la dernière version (10.5.87) du client Origin.
Lors de la prochaine connexion du joueur, il lui sera demandé d’effectuer la mise à jour avant de saisir ses identifiants. S’il est déjà connecté, il devra redémarrer Origin pour obtenir la mise à jour.
Foire aux questions
Comment détermine-t-on la gravité du problème ?
La gravité du problème est basée sur une échelle de 4 points allant de Critique à Faible. Dans le cadre de notre enquête, les ingénieurs sécurité évaluent la facilité d’exploitation de la vulnérabilité et la manière dont un assaillant pourrait l’exploiter. La gravité du problème dépend de la facilité d’exploitation de la faille et de son impact potentiel sur la sécurité. Vous trouverez plus d’informations sur la classification du risque en termes de sécurité et de gravitéici.
Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est causée par la méthode de restitution des messages de chat par le navigateur Web du client Origin. Cela permet à un attaquant de fournir un JavaScript arbitraire qui s’exécutera sur le client Origin d’un utilisateur cible sous l’autorité du domaine www.origin.com.
Cette vulnérabilité peut-elle être utilisée pour accéder au compte Origin d’un joueur ou le voler ?
Cette vulnérabilité ne peut pas être utilisée pour accéder au compte Origin d’un joueur, ni pour le voler ou accéder à sa session client Origin authentifiée.
Quelles données sensibles sont accessibles avec cette vulnérabilité ?
Cette vulnérabilité permet d’accéder au contenu des messages de chat du joueur, à sa liste d’amis, à ses succès, à sa la liste de jeux possédés et à sa la liste d’envies.
Comment savoir si je suis vulnérable ?
Si le client Origin version 10.5.86 ou antérieure est installé sur votre système, il est vulnérable à ce problème.
Comment la mise à jour corrige-t-elle la vulnérabilité ?
La mise à jour exécute le nettoyage ainsi que la validation du contenu envoyé et reçu dans les messages de chat côté client et côté serveur.
Cette vulnérabilité a-t-elle été utilisée contre les clients d’EA ?
Non. Au moment de la publication de cet avis, nous n’avons pas connaissance d’attaques à l’encontre des joueurs EA tirant parti de cette faille.
Remerciement(s)
EA remercie les chercheurs en sécurité suivants pour leur découverte et leur signalement, conformément aux dispositions de la Divulgation coordonnée des vulnérabilités :
Date de publication : 29 octobre 2020
Version : 1.0