Cross-site scripting kwetsbaarheid in Origin client

Ernst: belangrijk

CVSS-score: 8.2

Impact: manipulatie

Status: verholpen

Software waarin dit probleem optreedt: Origin voor Mac en PC, versie 10.5.86 (of lager)

CVE ID: CVE-2020-15914

Omschrijving

Er bestaat een cross-site scripting (XSS) kwetsbaarheid in de Origin client die een externe aanvaller in staat zou kunnen stellen om willekeurig Javascript uit te voeren in de Origin client van een doelwit. Een aanvaller kan deze kwetsbaarheid gebruiken om toegang te krijgen tot gevoelige gegevens die verband houden met het Origin-account van het doelwit, of om het chatvenster van Origin te besturen of te bekijken.

Aanvalsscenario

Om de kwetsbaarheid uit te buiten, moet de aanvaller zich aanmelden bij de Origin client met behulp van een geldig Origin-account en de chatfunctie van Origin gebruiken om een speciaal gemaakt chatbericht naar het betreffende systeem te sturen. Het bewerkte bericht bevat een Javascript-lading die wordt uitgevoerd in de Origin client wanneer de client de volgende keer wordt gestart.

1. Als het bericht wordt afgeleverd en het systeem draait op dat moment niet op de Origin client, zal de payload worden uitgevoerd wanneer de gebruiker de Origin client de volgende keer opstart.
2. Als de Origin client al draait wanneer het bericht wordt afgeleverd, zal de payload niet onmiddellijk worden uitgevoerd. De aanvaller moet wachten tot de gebruiker de Origin client opnieuw opstart of de gebruiker op een andere manier overtuigen om zijn Origin client opnieuw op te starten.

Beperkingen

Beperkingen beschrijven factoren die de waarschijnlijkheid van het succesvol uitbuiten van de kwetsbaarheid door de aanvaller of de impact ervan beperken.

• De payload die de aanvaller naar het getroffen systeem stuurt, wordt pas uitgevoerd wanneer Origin op het systeem van de doelgebruiker opgestart wordt. Als Origin al draait op het doelsysteem, moet de aanvaller de doelgebruiker overtuigen om zijn Origin client opnieuw op te starten of wachten tot de gebruiker zijn Origin client opnieuw opstart.
• Een aanvaller kan alleen chatberichten sturen naar een bepaalde gebruiker als die gebruiker op de vriendenlijst van de aanvaller staat. Om een willekeurige Origin-gebruiker aan te vallen die niet op de vriendenlijst van de aanvaller staat, moet de aanvaller de gebruiker eerst overtuigen om een vriendschapsverzoek op Origin te accepteren.

Tijdelijke oplossingen

Tijdelijke oplossingen zijn stappen die klanten van EA kunnen nemen om de kans te verkleinen dat een aanvaller deze kwetsbaarheid kan misbruiken als ze de update niet kunnen of willen installeren.

• Er zijn voor deze kwetsbaarheid geen tijdelijke oplossingen. Om de kwetsbaarheid te verhelpen, moeten de spelers de stappen volgen die in het gedeelte Oplossing van dit advies worden beschreven.

Oplossing

Om de kwetsbaarheid aan te pakken, wordt spelers met beheerdersrechten geadviseerd de nieuwste versie van de Origin client te installeren, versie 10.5.87.

De volgende keer dat de speler zich aanmeldt, moet deze update geïnstalleerd worden voordat deze de aanmeldgegevens kan invoeren. Als de gebruiker al aangemeld is, moet Origin opnieuw opgestart worden om de update toe te passen.

Veelgestelde vragen

Hoe wordt de ernst van het probleem bepaald?

De ernst van het probleem is gebaseerd op een 4-punts schaal. Deze loopt van kritiek naar laag. Als onderdeel van ons onderzoek bepalen beveiligingstechnici het algehele gebruiksgemak van de beveiligingslek en hoe een aanvaller deze succesvol zou moeten misbruiken. Hoe minder belemmeringen er zijn om de kwetsbaarheid uit te buiten, en hoe hoger de beveiligingsimpact, hoe groter de ernst van het probleem. Je kunt hier meer informatie vinden over hoe wij beveiligingsimpact en ernst classificeren.

Wat is de oorzaak van de kwetsbaarheid?

De kwetsbaarheid wordt veroorzaakt door de methode die de webbrowser van de Origin client gebruikt om chatberichten weer te geven. Dit stelt een aanvaller in staat om willekeurige Javascript aan te leveren, die wordt uitgevoerd op de Origin client van een doelwit onder het gezag van het domein www.origin.com .

Kan deze kwetsbaarheid worden gebruikt om toegang te krijgen tot het Origin-account van een speler of deze te stelen?

Deze kwetsbaarheid kan niet worden gebruikt om toegang te krijgen tot het Origin-account van een speler of deze te stelen, noch om toegang te krijgen tot hun geauthenticeerde Origin-clientsessie.

Welke gevoelige gegevens zijn toegankelijk via deze kwetsbaarheid?

Deze kwetsbaarheid kan worden gebruikt om toegang te krijgen tot de inhoud van de chatberichten van de speler, de vriendenlijst van de speler, de prestaties van de speler, de lijst met games die de speler bezit en het verlanglijstje van de speler.

Hoe weet ik of ik kwetsbaar ben?

Je systeem is kwetsbaar als versie 10.5.86 of lager van de Origin client erop staat geïnstalleerd.

Hoe verhelpt de update het beveiligingslek?

De update implementeert aan de clientzijde en serverzijde correctie en validatie van content die wordt verzonden en ontvangen in chatberichten.

Is dit beveiligingslek tegen klanten van EA gebruikt?

Op het moment dat dit advies werd gepubliceerd, waren er geen aanwijzingen van aanvallen op spelers van EA die gebruikmaakten van deze kwetsbaarheid.

Erkenning(en)

EA bedankt de volgende beveiligingsonderzoekers voor hun ontdekking de melding ervan in overeenstemming met de Coordinated Vulnerability Disclosure-richtlijnen:

• Ahmed El-Monairy

Publicatiedatum: 29 oktober 2020

Versie: 1.0