Por Adrian Stone, Diretor Sênior de Segurança de Produtos da EA, 29 de outubro de 2020
Hoje, lançamos uma versão atualizada do cliente Origin para solucionar duas vulnerabilidades de segurança de alta gravidade. Os dois problemas nos foram relatados de forma confidencial, por meio do nosso Programa de Envio de Vulnerabilidade de Segurança do Produto. Em nenhum momento houve evidência de que essas vulnerabilidades tenham sido usadas contra nossos clientes. Se você já fez login no cliente Origin, a atualização provavelmente já foi oferecida. Ela também pode ser obtida por download direto aqui. Dois avisos de segurança foram publicados com detalhes sobre as vulnerabilidades solucionadas pela atualização.
O primeiro problema (EASEC-2020-002) foi descoberto por Xavier Danest - Decathlon e Tom Wilson - Nettitude. Esse problema permitia que um usuário válido com permissões limitadas ganhasse acesso de nível privilegiado em computadores com o Origin instalado. Se um invasor tentasse explorar essa vulnerabilidade, ele precisaria fazer login no computador com uma conta de usuário não Administrativo válida e convencer um usuário Administrativo a executar um aplicativo Origin com privilégios elevados. O usuário administrativo precisaria aprovar um prompt do UAC para fazer isso.
Este lançamento também resolve um segundo problema de gravidade alta no Origin (EASEC-2020-003), descoberto por Ahmed El-Monairy. É uma vulnerabilidade do tipo cross-site scripting (XSS) que pode permitir que um atacante remoto execute código JavaScript arbitrário contra a lista de amigos do cliente Origin. Um invasor pode usar essa vulnerabilidade para acessar dados confidenciais ou para controlar ou monitorar a janela de bate-papo de texto da lista de amigos do usuário do Origin.
Gostaríamos de agradecer à comunidade de pesquisa de segurança pelos relatórios de vulnerabilidades e suas interações positivas conosco, enquanto trabalhamos juntos para proteger os jogadores e toda a comunidade de jogos.