Октябрьское обновление системы безопасности Origin
Автор: Эдриен Стоун, генеральный директор, отдел безопасности продукции EA, 29 октября 2020 года
Сегодня мы выпустили свежее обновление клиента Origin, в котором устранили две серьёзные уязвимости системы безопасности. Об обеих уязвимостях нам конфиденциально сообщили в рамках нашей программы учёта уязвимостей наших продуктов. Мы не нашли доказательств того, что кто-то использовал найденные уязвимости против наших пользователей. Если вы уже выполняли вход в клиент Origin, то, скорее всего, установили обновление. Но его также можно загрузить по прямой ссылке здесь. Мы также опубликовали два отчёта с подробностями об уязвимостях, которые были устранены в обновлении.
Первую уязвимость (EASEC-2020-002) обнаружили Хавьер Данест из Decathlon и Том Уилсон из Nettitude. Из-за данной уязвимости зарегистрированный пользователь с ограниченным функционалом мог получить полноценный доступ ко всем компьютерам, на которых был установлен клиент Origin. Злоумышленнику, который мог попытаться эксплуатировать уязвимость, потребовалось бы выполнить вход в компьютер под действительной учётной записью без прав администратора и убедить пользователя-администратора запустить приложение Origin с повышенным статусом привилегий. Пользователю с правами администратора понадобилось бы одобрить запрос на контроль учётных записей, чтобы это сделать.
Мы также устранили другую серьёзную уязвимость клиента Origin (EASEC-2020-003), которую обнаружил Ахмед Эль-Монэри. Это была уязвимость «межсайтовый скриптинг», которая позволяла злоумышленнику удалённо внедрять код JavaScript в список друзей клиента Origin. Злоумышленник мог использовать данную уязвимость для того, чтобы получить доступ к конфиденциальным сведениям и управлять или следить за окном чата пользователя из списка друзей Origin.
Хотим поблагодарить специалистов по обеспечению безопасности за сообщения об уязвимостях и сотрудничество с нами, что помогает нам общими силами защитить игроков и всё игровое сообщество.