Alvorlighetsgrad: Viktig
CVSS-karakter: 8.2
Påvirkning: Tukling
Status: Løst
Berørt programvare: Origin-versjon 10.5.86 (eller tidligere) for Mac og PC
CVE-ID: CVE-2020-15914
Beskrivelse
Det finnes et sikkerhetsproblem med skripting på tvers av nettsider (XSS) i Origin-klienten som kan gjøre det mulig for en ekstern angriper å kjøre arbitrær JavaScript i en brukers Origin-klient. En angriper kan bruke dette sikkerhetsproblemet til å få tilgang til sensitive data som er knyttet til brukerens Origin-klient, eller til å kontrollere eller overvåke Origins chatvindu.
Angrepsscenario
For å kunne utnytte sikkerhetsproblemet må angriperen logge seg inn på Origin-klienten med en gyldig Origin-konto og bruke Origins chatfunksjon til å sende en spesiallaget melding til det berørte systemet. Meldingen inneholder en JavaScript-nyttelast («payload») som vil kjøre i Origin-klienten når klienten starter neste gang.
Begrensninger
Begrensninger beskriver faktorer som begrenser sannsynligheten eller innvirkningen for at en angriper klarer å utnytte sikkerhetsproblemet
Midlertidige løsninger
Midlertidige løsninger er trinn som EA-kunder kan følge for å redusere sannsynligheten for at en angriper utnytter sikkerhetsproblemet dersom de ikke kan eller velger å ikke installere oppdateringen.
Løsning
For å fikse sikkerhetsproblemet rådes spillere med administratorrettigheter til å installere den nyeste versjonen av Origin-klientversjonen 10.5.87 (eller nyere).
Når spilleren logger på neste gang, må spilleren oppdatere før de skriver inn påloggingsinformasjonen sin. Hvis de allerede er logget på, må de starte Origin på nytt for å få oppdateringen.
Vanlige spørsmål
Hvordan fastslås alvorlighetsgraden?
Problemets alvorlighetsgrad baseres på en firepunkters skala fra kritisk til lav. Som en del av etterforskningen vår fastslår sikkerhetsingeniører hvor enkelt det er å unytte sikkerhetsproblemet, og hvordan en angriper må gå frem for å utnytte det på en vellykket måte. Jo færre barrierer som finnes for utnyttelse, kombinert med en høyere sikkerhetskonsekvens, desto høyere er vanligvis problemets alvorlighetsgrad. Mer informasjon om hvordan vi klassifiserer sikkerhetspåvirkninger og alvorlighetsgrad finner du her.
Hva forårsaker sikkerhetsproblemet?
Sikkerhetsproblemet forårsakes av metoden som brukes til å gjengi meldinger fra Origin-klientens nettleser. Dette gjør det mulig for angripere å levere aribitrære JavaScript, som vil utføres på en brukers Origin-klient under autoriteten til domenet www.origin.com.
Kan dette sikkerhetsproblemet brukes til å få tilgang til eller stjele spillerens Origin-konto?
Dette sikkerhetsproblemet kan ikke brukes til å få tilgang til eller stjele spillerens Origin-klient eller få tilgang til den autentiserte Origin-klientøkten.
Hvilke sensitive data er tilgjengelige med dette sikkerhetsproblemet?
Dette sikkerhetsproblemet kan brukes til å få tilgang til innholdet i spillerens chatmeldinger, spillerens venneliste, spillerens prestasjoner, spillerens spilleliste og spillerens ønskeliste.
Hvordan vet jeg om jeg er sårbar?
Hvis Origin-klientversjon 10.5.86 eller tidligere versjoner er installert på systemet, er det sårbart overfor dette problemet.
Hvordan kan oppdateringen løse sårbarheten?
Oppdateringen implementerer innholdssanitering på klient- og serversidene og validering av innholdet som sendes og mottas i meldinger.
Har dette sikkerhetsproblemet blitt brukt mot EAs kunder?
Nei. Når denne veiledningen publiseres er vi ikke kjent med noen angrep mot EAs spillere som utnytter denne sårbarheten.
Anerkjennelser
EA takker følgende sikkerhetsforskere for oppdagelsene deres og for rapporteringen til oss i samsvar med praksisene for koordinert sikkerhetsvarsling:
Publiseringsdato: 29. oktober 2020
Versjon: 1.0