10月のOriginセキュリティアップデート

Adrian Stone, Sr.EA製品セキュリティディレクター、2020年10月29日

本日深刻度の高いセキュリティ上の脆弱性を解決するために、アップデートバージョンのOriginクライアントをリリースしました。2つの脆弱性は、製品の脆弱性報告プログラムを通じて内密に当社へ報告されました。これら両方の脆弱性がEAのお客様に対して悪用されたという形跡はありません。Originクライアントにログインしている場合は、すでにアップデートするように表示があったはずです。こちらから直接ダウンロードすることもできます。アップデートで対応した脆弱性について、その詳細を記載したセキュリティ勧告が2件公開されています。

最初の脆弱性（EASEC-2020-002）は、Xavier Danest（Decathlon）とTom Wilson（Nettitude）によって発見されました。これは権限が制限された正当なユーザーが、Originをインストールしたコンピュータ上で、権限を昇格することが可能であったというものです。攻撃者はこの脆弱性を悪用する場合、有効かつ管理者ではないユーザーアカウントで、コンピューターにログインする必要があります。また管理者権限を持つユーザーが、昇格した権限でOriginアプリケーションを実行するように促します。これを行うには管理者権限を持つユーザーが、UACプロンプトを承認する必要があります。

今回のリリースで深刻度が2番目に高いOriginの問題（EASEC-2020-003）も解消されています。これはAhmed El-Monairyが発見したものです。このクロスサイトスクリプティング（XSS）の脆弱性を悪用すれば、リモート環境の攻撃者はOriginクライアントのフレンドリストに登録されているフレンドに対して、任意のJavaScriptコードを実行することができます。攻撃者はこの脆弱性を利用して、フレンドリストに登録されているアカウントの機密データにアクセスすることが可能になります。またOriginのテキストチャットウィンドウの操作・監視を実行することもできます。

セキュリティリサーチコミュニティの方々、また脆弱性の報告とプレイヤーやゲームコミュニティの皆様を保護するために協力してくださったことに対し、感謝申し上げます。