Av Adrian Stone, senior direktør for EA produktsikkerhet, 29. oktober 2020
I dag har vi lansert en oppdatert versjon av Origin-klienten for å løse to alvorlige sikkerhetsproblemer. Begge problemene ble rapportert til oss konfidensielt gjennom vårt innsendelsesprogram for produktsårbarhet. Ikke under noe tidspunkt fantes det bevis for at noen av sikkerhetsproblemene ble brukt mot kundene våre. Hvis du allerede har logget på Origin-klienten, har du sannsynligvis allerede blitt tilbudt oppdateringen. Den kan også lastes ned direkte her. To sikkerhetsveiledninger er publisert med informasjon om sikkerhetsproblemene som ble løst i oppdateringen.
Det første problemet (EASEC-2020-002) ble oppdaget av Xavier Danest - Decathlon og Tom Wilson fra Nettitude. Problemet ga en gyldig bruker med begrensede rettigheter tilgang på privilegert nivå på datamaskiner der Origin er installert. Hvis en angriper prøver å utnytte dette sikkerhetsproblemet, ville de måtte logge på datamaskinen med en gyldig brukerkonto som ikke er administrator, og overbevise en administrativ bruker om å kjøre et Origin-program med økte rettigheter. Administratorbrukeren måtte ha godkjent en UAC-melding for å gjøre dette.
Denne utgivelsen løser også et annet alvorlig problem i Origin (EASEC 2020-003), oppdaget av Ahmed El Monairy. Det var et problem med skripting på tvers av sider (XSS), som kunne gjort det mulig for en ekstern angriper å kjøre arbitrær JavaScript mot Origin-klientens venneliste. En angriper kunne brukt dette sikkerhetsproblemet til å få tilgang til sensitive data eller kontrollere eller overvåke vennelistens medlemmer i Origin-klienten.
Vi ønsker å takke sikkerhetsforskningssamfunnet for å sende inn sårbarheter og deres positive kommunikasjon med oss mens vi jobber sammen for å beskytte spillerne og det større spillsamfunnet.