Mise à jour de sécurité Origin - Octobre
Adrian Stone, Directeur de la sécurité des produits EA - 29 octobre 2020
Une nouvelle version du client Origin a été publiée aujourd’hui pour corriger deux failles de sécurité importantes. Les deux problèmes nous ont été signalés de manière confidentielle par le biais de notre Programme de signalement des failles de sécurité produit. Aucune preuve d’utilisation de ces vulnérabilités contre nos clients n’a été constatée. Si vous vous êtes déjà connecté(e) au client Origin, la mise à jour vous a probablement déjà été proposée. Vous pouvez également la télécharger directement ici. Deux avis de sécurité ont été publiés avec plus d'informations sur les vulnérabilités résolues par la mise à jour.
Le premier problème (EASEC-2020-002) a été découvert par Xavier Danest de Decathlon et Tom Wilson de Nettitude. Ce problème permettait à un utilisateur valide bénéficiant d’autorisations restreintes d’obtenir un accès complet aux ordinateurs sur lesquels Origin est installé. Si l’un des attaquants avait voulu exploiter cette vulnérabilité, il aurait dû se connecter à l’ordinateur avec un compte utilisateur non-administrateur valide et convaincre un utilisateur administrateur d’exécuter l’application Origin avec des privilèges élevés. Pour ce faire, l’utilisateur administrateur aurait dû approuver la demande du contrôle du compte de l'utilisateur.
Cette publication résout également un deuxième problème au niveau de gravité élevé dans Origin (EASEC-2020-003), découvert par Ahmed El-Monairy. Il s’agit d’une vulnérabilité de type cross-site scripting (XSS) qui pouvait permettre à un attaquant distant d’exécuter un JavaScript arbitraire sur la liste d’amis du client Origin. L’attaquant pouvait utiliser cette vulnérabilité pour accéder aux données confidentielles, ou pour contrôler ou surveiller la fenêtre de chat d’Origin du membre de la liste d’amis visée.
Nous tenons à remercier la communauté des chercheurs en sécurité pour la communication des vulnérabilités et leurs interactions positives. Nous travaillons ensemble pour protéger les joueurs et la communauté du jeu vidéo en général.