Gravidade: Importante
Pontuação CVSS: 8,2
Impacto: Adulteração
Status: Corrigida
Software afetado: Origin para Mac e PC versão 10.5.86 (ou anterior)
ID do CVE: CVE-2020-15914
Descrição
Existe uma vulnerabilidade do tipo cross-site scripting (XSS) no Cliente Origin que pode permitir que uma invasão remota execute código JavaScript arbitrário no Cliente Origin em uso. A pessoa que invadir pode usar esta vulnerabilidade para acessar dados confidenciais relacionados à conta Origin em uso, ou para controlar ou monitorar a janela de bate-papo por texto do Origin.
Cenário de ataque
Para explorar a vulnerabilidade com sucesso, a pessoa que invadir precisa fazer login no Cliente Origin usando uma conta Origin válida e usar a funcionalidade de bate-papo por texto do Origin para enviar uma mensagem de bate-papo de texto especialmente criada para o sistema afetado. A mensagem criada contém um código JavaScript que será executado no Cliente Origin quando for iniciado na próxima vez.
Atenuações
As atenuações descrevem fatores que limitam a probabilidade ou impacto de uma invasão fazer uso efetivo da vulnerabilidade.
Solução alternativa
As soluções alternativas são medidas que os clientes da EA podem tomar para reduzir o potencial de um invasor fazer uso da vulnerabilidade se não for possível ou se optarem por não instalar a atualização.
Resolução
Para abordar a vulnerabilidade, recomendamos àqueles com direitos de Administrador que instalem a versão mais recente do Cliente Origin, 10.5.87.
No próximo login, quem joga terá que fazer a atualização antes de inserir suas credenciais. Se a pessoa já estiver conectada, será necessário reiniciar o Origin para obter a atualização.
Perguntas frequentes
Como a gravidade do problema é determinada?
A severidade do problema é baseada em uma escala de 4 pontos que varia de crítica a baixa. Como parte da nossa investigação, os engenheiros de segurança determinam a facilidade geral de exploração e como um invasor precisaria explorar a vulnerabilidade com sucesso. Normalmente, quanto menos obstáculos existirem para a exploração, em combinação com um maior impacto de segurança, mais alta será a gravidade do problema. Mais informações sobre como nós classificamos a gravidade e o impacto de segurança podem ser encontradas aqui.
O que causa a vulnerabilidade?
A vulnerabilidade é causada pelo método usado para processar mensagens de bate-papo por texto pelo navegador da Web do Cliente Origin. Isto permite que uma invasão forneça código JavaScript arbitrário, que será executado no Cliente Origin em uso sob a autoridade do domínio www.origin.com.
Esta vulnerabilidade pode ser utilizada para acessar ou roubar a conta Origin de quem joga?
Esta vulnerabilidade não pode ser utilizada para acessar ou roubar a conta Origin de quem joga ou acessar sua sessão autenticada do Cliente Origin.
Quais dados confidenciais podem ser acessados usando esta vulnerabilidade?
Esta vulnerabilidade pode ser utilizada para acessar o conteúdo das mensagens de bate-papo, a lista de amizades, as conquistas, a lista de jogos e a lista de desejos de quem joga.
Como saber se estou vulnerável
Se a versão do Cliente Origin 10.5.86 ou anterior estiver instalada, o sistema estará vulnerável a este problema.
Como a atualização resolve a vulnerabilidade?
A atualização implementa a sanitização e validação do conteúdo enviado e recebido nas mensagens de texto do bate-papo no lado de quem é cliente e no lado do servidor.
Esta vulnerabilidade foi utilizada contra clientes da EA?
Não. No momento da publicação deste aviso, não estamos cientes de nenhum ataque que faça uso desta vulnerabilidade contra clientes da EA.
Reconhecimento(s)
A EA agradece ao seguinte pesquisador de segurança por sua descoberta e por relatá-la para nós de acordo com as práticas da Divulgação de Vulnerabilidade Coordenada:
Data de publicação: 29 de outubro de 2020
Versão: 1.0