Waga problemu: ważny
Punktacja CVSS: 8,2
Wpływ: Manipulowanie
Status: naprawiono
Oprogramowanie, którego dotyczy problem: Aplikacja Origin na komputery Mac i PC w wersji 10.5.86 (lub wcześniejszej)
Identyfikator CVE: CVE-2020-15914
Opis
W aplikacji Origin istnieje luka umożliwiająca zdalne wykonywanie skryptów (XSS), która może pozwolić na uruchomienie dowolnego skryptu Javascript w aplikacji Origin użytkownika. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, aby uzyskać dostęp danych związanych z kontem Origin użytkownika docelowego lub monitorować okno czatu tekstowego osoby z listy znajomych.
Scenariusz ataku
Aby skutecznie wykorzystać tę lukę, osoba atakująca musi zalogować się do aplikacji Origin za pomocą ważnego konta Origin oraz skorzystać z funkcji czatu tekstowego w aplikacji Origin do wysłania specjalnej wiadomości do atakowanego systemu. Spreparowana wiadomość zawiera skrypt Javascript, który zostanie wykonany w aplikacji Origin przy kolejnym uruchomieniu klienta.
Ograniczenie zagrożenia
Ograniczenie zagrożenia to czynniki ograniczające prawdopodobieństwo pomyślnego wykorzystania luki lub wpływu atakującego.
Rozwiązania
Rozwiązania to kroki, które klienci EA mogą podjąć, by zmniejszyć prawdopodobieństwo wykorzystania luki, jeśli nie chcą lub nie mogą zainstalować aktualizacji.
Ustawienia rozdzielczości
Aby rozwiązać problem, gracze z uprawnieniami administratora powinni zainstalować najnowszą wersję aplikacji Origin w wersji 10.5.87.
Przy kolejnym logowaniu gracz będzie musiał zaktualizować aplikację przed podaniem danych. Jeśli jest już zalogowany, będzie musiał uruchomić ponownie aplikację Origin, aby uzyskać aktualizację.
Najczęściej zadawane pytania
Jak jest określana waga problemu?
Waga problemów określana jest na podstawie 4-stopniowej klasyfikacji od krytycznych do małych. W ramach dochodzenia specjaliści ds. bezpieczeństwa określają stopień łatwości wykorzystania luki oraz kroki, które atakujący musiałby podjąć, by tę lukę wykorzystać. Mała liczba przeszkód w wykorzystaniu luki w połączeniu z wyższym wpływem na bezpieczeństwo będzie skutkować wyższym stopniem wagi problemu. Więcej informacji na temat klasyfikowania wpływu na bezpieczeństwo i jego wagi znajdziesz tutaj.
Co powoduje lukę w zabezpieczeniach?
Luka powstaje w wyniku użycia metody służącej do renderowania wiadomości tekstowych przez przeglądarkę aplikacji Origin. W ten sposób osoba atakująca może przekazać dowolny skrypt Javascript, który uruchomi się w docelowej aplikacji Origin w domenie www.origin.com.
Czy ta luka może być wykorzystana do uzyskania dostępu do konta Origin lub jego kradzieży?
Tej luki nie można wykorzystać do uzyskania dostępu do konta Origin ani do jego kradzieży.
Do jakich poufnych danych można uzyskać dostęp po wykorzystaniu tej luki?
Ta luka może być wykorzystana do uzyskania dostępu do wiadomości na czacie gracza, do jego listy znajomych, osiągnięć, listy posiadanych gier oraz listy życzeń.
Skąd mam wiedzieć, czy moja aplikacja jest narażona?
Jeśli posiadasz zainstalowaną aplikację Origin w wersji 10.5.86 lub wcześniejszej, twój system jest narażony na to zagrożenie.
W jaki sposób aktualizacja rozwiązuje lukę w zabezpieczeniach?
Aktualizacja wdraża poprawki zawartości po stronie klienta i serwera, a także weryfikację treści wysyłanych i odbieranych w wiadomościach tekstowych.
Czy luka została wykorzystana przeciwko klientom EA?
Nie. W chwili publikacji niniejszego poradnika nie odnotowaliśmy żadnych ataków na graczy EA, które wykorzystywałyby tę lukę w zabezpieczeniach.
Podziękowania
EA dziękuje następującej osobie za odkrycie i zgłoszenie luki zgodnie z zasadami programu skoordynowanego ujawniania luk w zabezpieczeniach:
Data publikacji: 29 października 2020 roku
Wersja: 1.0