Samarbeid med eksterne sikkerhetsforskere
Origin sikkerhetsoppdatering
Av Adrian Stone, senior direktør for EA produktsikkerhet
10. desember 2019
I dag ble det utgitt en oppdatert versjon av Origin-klienten for å løse et sikkerhetsproblem som ble oppdaget tidligere. Under spesifikke omstendigheter kan problemet ha gitt en gyldig bruker med begrensede rettigheter tilgang på privilegert nivå på datamaskiner der Origin er installert.
Oppdateringen er allerede lagt til Origin-klienten, og den kan også lastes ned direkte her. Gjennom vår etterforskning og utvikling av oppdateringen, kunne vi ikke se noen tegn på at sårbarheten ble brukt.
Dette ble opprinnelig rapportert til oss gjennom vårt rapporteringsprogram for sårbarheter knyttet til produktsikkerhet. Vi ønsker å takke både Vasilij Kravetz i AMonitoring og Matt Nelson for å jobbe tett med oss gjennom etterforskningen og utviklingen av løsningen i samsvar med praksis for koordinert sikkerhetsvarsling.
Vi har publisert en sikkerhetsveiledning med tilleggsinformasjon om sikkerhetsproblemet og en hjelpeartikkel som beskriver oppdateringen i større detalj.
Dette er en veldig spesifikk sak, og vi har sett den påvirke andre deler av spillindustrien. Som sådan, tenkte vi det ville vært verdt å dele litt ekstra bakgrunnsinfo om hvordan det skjedde.
Siden mange av våre PC-spillere på Origin bygger sine egne gaming-PC-er og bruker sterke gaming-laptoper, ble Origin-klienten bygget slik at vi antar at alle brukere kjører som maskinsterke brukere, der brukerne ønsker full administrativ kontroll over systemet sitt til enhver tid. Siden da har industristandarden begynt å endre seg. Flere, inkludert noen spillere, bruker datamaskinen som en «begrenset» standardbruker. Og noen vil opprette kontoer for andre begrensede brukere for å dele et system med mer enn én person. Denne praksisen, kalt «minste privilegium» i sikkerhetskretser, bidrar til å begrense sikkerhetspåvirkningen av potensielle sikkerhetsproblemer hvis de skulle oppstå. Leverandører av operativsystemer har nylig begynt å anerkjenne endringen, og de har gjort endringer i operativsystemet sitt for å forme seg etter landskapet i endring.
Hvis en angriper skal utnytte sårbarheten, ville vedkommende måtte logge på datamaskinen med en gyldig brukerkonto som ikke er administrator. De ville da måtte installere et spesiallaget program eller kjøre kode som modifiserer en del av programvaren for å oppnå økt tilgangsnivå.
De aller fleste av våre nåværende Origin-brukere har allerede tilgang på administratornivå og er den eneste brukerkontoen på maskinen (antall brukere uten tilgang på administratornivå er mindre enn 5 % av vår totale Origin-brukerbase). Dette gjør det usannsynlig å bruke sårbarheten på tvers av de fleste brukerne, da det ikke vil føre til ytterligere tilgang eller privilegier.
Selv om problemet bare ville ha vært til stede for et lite antall spillere med Origin-klienten installert, er sikkerheten til alle brukere svært viktig for oss. Vi er glade for å ha rettet problemet med dagens oppdatering, som innfører modusen for begrenset tilgang. Vi er også opptatt av å forbedre vår tilnærming til «prinsippet med færrest privilegier» for Origin og modusen for begrenset tilgang i fremtidige versjoner, basert på innsikten vi har fått. Positiv kommunikasjon som dette mellom nettsamfunnet for sikkerhetsforskning og spillutgivere hever sikkerhetsstandarden for alle.
