EA 제품 보안팀 선임 디렉터, Adrian Stone - 2020년 10월 29일
금일 저희는 두 가지 높음 심각도의 보안 취약점을 해결하기 위해 Origin 클라이언트의 업데이트 버전을 출시했습니다. 두 가지 문제는 모두 당사의 제품 보안 취약점 보고 프로그램을 통해 내밀히 보고되었습니다. 하지만 두 가지 취약점 중 어느 하나도 고객에게 사용되었다는 증거는 전혀 없었습니다. 만약 귀하가 이미 Origin 클라이언트에 로그인했다면, 이미 업데이트를 제공받았을 가능성이 높습니다. 또는 여기에서 직접 다운로드할 수도 있습니다. 업데이트로 해결된 취약점에 대한 세부 정보가 포함된 두 가지 보안 권고 사항이 게시되었습니다.
첫 번째 문제(EASEC-2020-002)는 Xavier Danest - Decathlon과 Tom Wilson - Nettitude에 의해 발견되었습니다. 해당 문제는 제한된 권한을 가진 유효한 사용자가 Origin이 설치된 컴퓨터에서 권한 수준의 액세스를 얻을 수 있도록 허용하였습니다. 만약 공격자가 해당 취약점을 악용하려는 시도를 했다면, 공격자는 유효한 비관리자 사용자 계정으로 컴퓨터에 로그인하고 관리 사용자에게 승격된 권한으로 Origin 응용프로그램을 실행하도록 유도했을 것입니다. 또한 이를 위해서는 관리 사용자가 UAC 프롬프트를 승인해야 할 필요가 있습니다.
또한, 이번 출시는 Origin 내 두 번째 높음 심각도 문제(EASEC-2020-003)를 해결하였으며, 해당 문제는 Ahmed El-Monairy에 의해 발견되었습니다. 해당 문제는 원격 공격자가 Origin 클라이언트의 친구 목록에 대해 임의의 Javascript를 실행할 수 있는 크로스 사이트 스크립트(XSS) 취약점입니다. 공격자는 해당 취약점을 이용하여 민감한 데이터에 액세스하거나 대상 친구 목록 구성원의 Origin 텍스트 채팅 창을 제어하거나 모니터링할 수 있게 됩니다.
EA는 당사가 플레이어들과 광범위한 게이밍 커뮤니티를 보호하기 위해 노력할 때, 취약점을 제출해 주신 보안 연구 커뮤니티와 그들의 긍정적인 소통에 감사를 전하고 싶습니다.