Степень важности: высокая

Балл по системе CVSS: 8.2

Уязвимость: несанкционированное вмешательство

Статус: исправлено

Уязвимое ПО: клиент Origin для ПК и Mac версии 10.5.86 (или более ранней)

Идентификатор CVE: CVE-2020-15914

Описание

В клиенте Origin обнаружена уязвимость «межсайтовый скриптинг», которая позволяет злоумышленнику удалённо внедрить код JavaScript в клиент Origin другого пользователя. Злоумышленник мог использовать данную уязвимость для того, чтобы получить доступ к конфиденциальным сведениям учётной записи пользователя Origin и управлять или следить за окном чата в Origin.

Сценарий атаки

Для того, чтобы успешно эксплуатировать уязвимость, злоумышленнику необходимо выполнить вход в клиент Origin под действительной учётной записью и использовать текстовый чат Origin, чтобы отправить в нём текстовое сообщение затронутой системе. Сообщение содержит код JavaScript, который внедряется в клиент Origin при его следующем запуске.

1. Если сообщение доставлено, но клиент Origin в данный момент не запущен, код будет внедрён при следующем запуске клиента Origin.
2. Если при доставке сообщения клиент Origin уже запущен, код не будет внедрён сразу же. Злоумышленнику придётся дождаться момента, когда пользователь перезапустит клиент Origin, или как-то убедить его это сделать.

Минимизация последствий

Минимизация последствий включает факторы, которые ограничивают вероятность успешной эксплуатации уязвимости злоумышленником.

• Отправленный мошенником код затронутой системе будет внедрён только при запуске клиента Origin в системе пользователя. Если Origin уже запущен в системе пользователя, злоумышленнику понадобится убедить его перезапустить клиент Origin или дождаться, пока пользователь сам перезапустит клиент Origin.
• Злоумышленник может отправлять текстовые сообщения в чате пользователю, если он есть в его списке друзей. Для того, чтобы атаковать случайного пользователя Origin, которого нет в списке друзей злоумышленника, сначала ему придётся убедить пользователя принять его запрос в друзья в Origin.

Обходное решение

Обходные решения — это шаги, которые могут предпринять пользователи EA, чтобы сократить риск эксплуатации уязвимости злоумышленником, если они не хотят или не могут установить обновление клиента.

• Способов обхода данной уязвимости нет. Для устранения уязвимости игрокам необходимо следовать инструкции из раздела «Разрешение».

Разрешение

Для устранения уязвимости игрокам с правами администратора рекомендуется установить последнюю версию клиента Origin (10.5.87).

При следующем выполнении входа игроку будет необходимо обновить клиент прежде чем вводить свои учётные данные. Если пользователь уже выполнил вход, ему потребуется перезапустить Origin, чтобы установить обновление.

Часто задаваемые вопросы

Как определяется степень важности проблемы?

Степень важности проблемы определяется по 4-балльной системе — от критического уровня до низкого. Во время разбирательства в проблеме специалисты по защите информации определяют, насколько легко эксплуатировать уязвимость и что злоумышленнику придётся для этого сделать. Как правило, чем меньше у злоумышленника препятствий для эксплуатации уязвимости и чем серьёзнее будет удар по системе безопасности, тем выше у проблемы степень важности. Более подробная информация о классификации атак системы безопасности и их степени важности приведена здесь.

Как появилась уязвимость?

Уязвимость появилась из-за способа обработки текста сообщений в чате веб-браузером клиента Origin. Это позволяет злоумышленнику использовать код JavaScript, который внедряется в клиент Origin другого пользователя на веб-сайте www.origin.com.

Может ли данная уязвимость использоваться для доступа или кражи учётной записи Origin игрока?

Данная уязвимость не может использоваться для доступа или кражи учётной записи Origin игрока, а также для доступа к авторизованному сеансу игрока в Origin.

Какие конфиденциальные сведения могут стать доступными из-за этой уязвимости?

Данная уязвимость для получения доступа к сообщениям игрока в чате, его списку друзей, достижениям, списку имеющихся игр и списку желаемого.

Как узнать, нахожусь ли я в группе риска?

Если у вас установлена версия клиента Origin 10.5.86 или старее, в нём содержится уязвимость.

Как обновление помогает избавиться от уязвимости?

Обновление внедряет обработку и проверку контента, который отправляется и доставляется в текстовых сообщениях чата, как в клиенте, так и на сервере.

Использовалась ли уязвимость против пользователей EA?

Нет. На момент публикации этих рекомендаций нам неизвестно об атаках с использованием данной уязвимости на пользователей EA.

Благодарности

Компания EA хочет поблагодарить следующего специалиста по безопасности за выявление и информировании нас об этой уязвимости в соответствии с координированным сообщениями об уязвимостях:

• Ахмед Эль-Монэри

Дата публикации: 29 октября, 2020 года

Версия: 1.0