Allvarsgrad: Viktigt

CVSS-betyg: 8,2

Påverkan: Manipulering

Status: Fixat

Programvara som påverkas: Origin till Mac och PC version 10.5.86 (eller tidigare)

CVE-ID: CVE-2020-15914

Beskrivning

Det finns ett problem med cross-site scripting (XSS) (skript som körs över flera webbplatser) i Origin-klienten som kan göra det möjligt för en fjärrangripare att köra okontrollerad JavaScript i en målanvändares Origin-klient. En angripare kan använda den här sårbarheten för att komma åt känsliga data kopplad till målanvändarens Origin-konto, eller för att kontrollera eller övervaka Origins textchattfönster.

Attackscenario

För att kunna utnyttja sårbarheten måste angriparen logga in på Origin-klienten med ett giltigt Origin-konto och använda Origins textchattfunktion för att skicka ett särskilt utformat textchattmeddelande till det drabbade systemet. Det skapade meddelandet innehåller JavaScript-kod som körs i Origin nästa gång klienten startas.

1. Om meddelandet levereras, och systemet inte kör Origin-klienten vid den aktuella tidpunkten, kommer koden att köras när användaren kör Origin-klienten nästa gång.
2. Om användaren redan kör Origin-klienten när meddelandet levereras kommer inte koden att köras omedelbart. Angriparen måste vänta på att användaren startar om Origin-klienten, eller på annat sätt övertyga användaren om att starta om Origin-klienten.

Förmildrande omständigheter

Förmildrande omständigheter beskriver faktorer som begränsar sannolikheten för att en angripare ska kunna lyckas att utnyttja sårbarheten.

• Den kod som angriparen har skickat till det drabbade systemet kommer bara att köras när Origin startar på målanvändarens system. Om Origin redan körs på målsystemet måste angriparen övertyga målanvändaren om att starta om sin Origin-klient, eller vänta på att användaren startar om sin Origin-klient.
• Angriparen kan bara skicka textchattmeddelanden till en spelare, om användaren finns med på angriparens vänlista. För att attackera en godtycklig Origin-klient som inte finns på deras vänlista måste angriparen först övertyga användaren att acceptera en vänförfrågan från Origin.

Tillfälliga lösningar:

Tillfälliga lösningar är steg som EA-användare kan vidta för att minska risken för att en attackerare använder sårbarhet om de inte kan eller väljer att inte installera uppdateringen.

• Det finns inga tillfälliga lösningar för denna sårbarhet. För att åtgärda sårbarheten bör du följa stegen som beskrivs i avsnittet Lösning i detta meddelande.

Lösning

För att ta itu med sårbarheten råder vi spelare med administratörsrättigheter att installera den senaste versionen av Origins klient, version 10.5.87.

Vid nästa spelarinloggning kommer spelare att behöva uppdatera innan de anger sina inloggningsuppgifter. Om de redan är inloggade måste de starta om Origin för att få uppdateringen.

Vanliga frågor

Hur bestäms problemets allvarsgrad?

Problemets allvarsgrad är baserat på en 4-poängsskala som sträcker sig från Kritisk till Låg. Som en del av vår utredning avgör säkerhetsingenjörer hur lätt det är att utnyttja problemet och vad en attackerare måste göra för att kunna utnyttja sårbarheten. Typscenariot är att ju färre hinder som finns för exploatering i kombination med större säkerhetseffekter, desto högre blir problemets allvarsgrad. Mer information om hur vi klassificerar säkerhetspåverkan och allvarlighetsgraden hittar du här.

Vad orsakar sårbarheten?

Sårbarheten beror på den metod som används för att återge textchattmeddelanden i Origin-klienten via webbläsaren. På så sätt kan en angripare bifoga okontrollerad JavaScript, vilket kommer att köras på en målanvändares Origin-klient under auktoritet från domänen www.origin.com.

Kan den här sårbarheten användas för att komma åt eller stjäla en spelares Origin-konto?

Den här sårbarheten kan inte användas för att komma åt eller stjäla en spelares Origin-konto, eller komma åt deras autentiserade Origin-klientsessioner.

Vilka känsliga data är tillgängliga med den här sårbarheten?

Den här sårbarheten kan användas för att komma åt innehållet i spelarens chattmeddelanden, spelarens vänlista, spelarens prestationer, spelarens lista över ägda spel och spelarens önskelista.

Hur vet jag om jag är sårbar?

Om Origins klientversion 10.5.86 eller tidigare är installerad på datorn är den sårbar.

Hur löser uppdateringen problemet?

Uppdateringen implementerar innehållsrensning på klientsidan och serversidan och validering av innehållet som skickas och tas emot i textchattmeddelanden.

Har denna sårbarhet använts mot EA:s kunder?

Nej. Vi tidpunkten för publicering av detta meddelande har vi ingen kännedom om några attacker mot EA:s spelare som utnyttjat denna sårbarhet.

Erkännanden

EA tackar följande säkerhetsgranskare för deras upptäckt och rapportering till oss i enlighet med Coordinated Vulnerability Disclosure:

• Ahmed El-Monairy

Datum för publicering: Den 29 oktober 2020

Version: 1.0