Vulnerabilità relativa al cross-site scripting nel client Origin
EASEC-2020-003
Gravità: importante
Punteggio CVSS: 8,2
Impatto: manomissione
Stato: corretto
Software interessato: versione 10.5.86 (o precedenti) di Origin per Mac e PC
CVE ID: CVE-2020-15914
Descrizione
Nel client Origin è presente una vulnerabilità relativa al cross-site scripting (XSS) che potrebbe consentire a un hacker remoto di eseguire JavaScript arbitrario nel client Origin di un utente target. Un hacker potrebbe usare questa vulnerabilità per accedere ai dati sensibili relativi all'account Origin dell'utente target oppure per controllare o monitorare la finestra della chat di testo di Origin.
Scenario d'attacco
Per riuscire a sfruttare la vulnerabilità, è necessario che ci effettua l'attacco acceda al client Origin utilizzando un account Origin valido e utilizzi la funzionalità di chat di testo di Origin per inviare un messaggio di chat di testo creato appositamente per il sistema interessato. Il messaggio creato contiene un payload JavaScript che verrà eseguito nel client Origin al suo avvio successivo.
- Se il messaggio viene recapitato e il sistema non sta eseguendo il client Origin in quel momento, il payload verrà eseguito quando l'utente eseguirà il client Origin.
- Se l'utente sta già eseguendo il client Origin quando il messaggio viene recapitato, il payload non verrà eseguito immediatamente. L'hacker deve attendere che l'utente riavvii il client Origin oppure convincerlo a riavviare il client Origin.
Mitigazioni
Le mitigazioni descrivono fattori che limitano la probabilità o l'impatto di un hacker che sfrutta la vulnerabilità.
- Il payload inviato dall'hacker al sistema interessato verrà eseguito solo quando Origin verrà avviato sul sistema dell'utente target. Se Origin è già in esecuzione sul sistema target, l'hacker deve convincere l'utente target a riavviare il client Origin o deve attendere che l'utente riavvii il proprio client Origin.
- Un hacker può inviare messaggi di chat di testo solo a un utente specifico, se l'utente è nella lista amici dell'hacker. Per attaccare un utente di Origin arbitrario che non è nella lista amici, l'attaccante deve prima convincere l'utente ad accettare una richiesta di amicizia Origin.
Soluzioni temporanee
Le soluzioni temporanee consistono in dei passaggi che i clienti EA possono seguire per ridurre le possibilità di un attaccante di sfruttare la vulnerabilità nel caso in cui non possano o scelgano di non installare l'aggiornamento.
- Non ci sono soluzioni temporanee per questa vulnerabilità. Per risolvere la vulnerabilità, i giocatori dovrebbero seguire i passaggi descritti nella sezione Risoluzione di questo avviso.
Risoluzione
Per risolvere la vulnerabilità, ai giocatori con diritti di amministratore si consiglia di installare la versione più recente (10.5.87) del client Origin.
Al successivo accesso del giocatore, sarà necessario un aggiornamento prima di inserire le credenziali. Se è già stato effettuato l'accesso, sarà necessario riavviare Origin per ottenere l'aggiornamento.
Domande frequenti
Come viene determinata la gravità del problema?
La gravità del problema si basa su una scala a 4 livelli che va da critico a basso. Come parte della nostra indagine, gli ingegneri della sicurezza determinano la facilità di sfruttamento complessiva e ciò di cui un attaccante avrebbe bisogno per riuscire a sfruttare la vulnerabilità. In genere, un minor numero di ostacoli allo sfruttamento insieme a un maggiore impatto sulla sicurezza comportano una maggiore gravità del problema. Qui puoi trovare maggiori informazioni su come classifichiamo l'impatto e la gravità per la sicurezza.
Quali sono le cause della vulnerabilità?
La vulnerabilità è causata dal metodo usato per eseguire il rendering dei messaggi di chat di testo dal browser web del client Origin. In questo modo un hacker può fornire JavaScript arbitrario, che verrà eseguito sul client Origin di un utente target sotto l'autorità del dominio www.origin.com .
Questa vulnerabilità può essere usata per accedere o rubare un account Origin di un giocatore?
Non è possibile utilizzare questa vulnerabilità per accedere o rubare l'account Origin di un giocatore o accedere alla sessione autenticata del client Origin.
Quali dati sensibili sono accessibili usando questa vulnerabilità?
Questa vulnerabilità può essere usata per accedere ai contenuti dei messaggi della chat del giocatore, alla lista amici del giocatore, agli obiettivi del giocatore, all'elenco dei giochi del giocatore e alla lista desideri del giocatore.
Come faccio a sapere se sono vulnerabile?
Se nel sistema è installata la versione 10.5.86 o precedente del client Origin, esso è vulnerabile a questo problema.
In che modo l'aggiornamento risolve la vulnerabilità?
L'aggiornamento implementa la sanitizzazione di contenuti lato client e lato server e la convalida del contenuto inviato e ricevuto nei messaggi di chat di testo.
Questa vulnerabilità è stata usata contro i clienti EA?
No. Al momento della pubblicazione di questo avviso non siamo a conoscenza di alcun attacco contro i giocatori EA che sfrutti questa vulnerabilità.
Riconoscimenti
EA ringrazia i seguenti ricercatori che si occupano di sicurezza per la loro scoperta e per avercela segnalata in conformità alle pratiche della Coordinated Vulnerability Disclosure:
Data di pubblicazione: 29 ottobre 2020
Versione: 1.0