Autor: Adrian Stone Sr. Dyrektor działu ds. bezpieczeństwa produktów EA – 29 października 2020 r.

Dziś opublikowaliśmy zaktualizowaną wersję aplikacji Origin, aby rozwiązać problem z dwiema poważnymi podatnościami na zagrożenia. Oba te problemy zostały nam zgłoszone poufnie za pośrednictwem programu do zgłaszania problemów z bezpieczeństwem produktów. Nie ma żadnych dowodów na wykorzystanie tych problemów przeciwko naszym klientom. Twój program zostanie zaktualizowany, gdy zalogujesz się na konto Origin. Aktualizację można też pobrać bezpośrednio stąd. Opublikowane zostały dwa ogłoszenia dotyczące bezpieczeństwa. Zawierają one szczegółowe informacje na temat luk, które naprawiono w tej aktualizacji.

Pierwszy problem (EASEC-2020-002) został wykryty przez Xaviera Danesta z firmy Decathlon i Toma Wilsona z Nettitude. Luka ta umożliwiała użytkownikowi z ograniczonymi uprawnieniami otrzymanie wyższych uprawnień na komputerach z zainstalowaną aplikacją Origin. Gdyby osoba atakująca chciała wykorzystać taką lukę, musiałaby zalogować się do komputera na konto użytkownika innego niż administrator i przekonać użytkownika z uprawnieniami administratora do uruchomienia aplikacji Origin z wyższymi uprawnieniami. Administrator musiałby zatwierdzić monit UAC.

Ta wersja rozwiązuje również drugi poważny problem w Origin (EASEC-2020-003) odkryty przez Ahmeda El-Monairy'ego. Jest to luka umożliwiająca zdalne wykonywanie skryptów (XSS), które może pozwolić na uruchomienie dowolnego skryptu Javascript na liście znajomych klienta Origin. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, aby uzyskać dostęp do poufnych danych albo kontrolować lub monitorować okno czatu tekstowego Origin osoby z listy znajomych abonenta.

Chcemy podziękować społeczności analityków bezpieczeństwa za zgłoszenie luki w zabezpieczeniach oraz za ich pozytywną interakcję w celu ochrony graczy i szerszej społeczności.