Origins säkerhetsuppdatering för oktober
Av Adrian Stone, Sr. Director, EA Product Security – 29 oktober 2020
Idag släpptes en uppdaterad version av Origin-klienten för att hantera två allvarliga sårbarheter säkerheten. Båda rapporterades till oss via vårt sårbarhetsrapporteringsprogram. Det finns inget som tyder på att någon av sårbarheterna har använts mot våra kunder. Om du redan har loggat in på Origin-klienten har du troligen redan blivit erbjuden uppdateringen. Den kan också laddas ner direkt här. Två säkerhetsrekommendationer har publicerats med mer information om de sårbarheter som har åtgärdats i uppdateringen.
Den första sårbarheten (EASEC-2020-002), upptäcktes av Xavier Danest - Decathlon och Tom Wilson från Nettitude. Under vissa omständigheter kunde sårbarheten ha tillåtit en giltig användare med begränsad behörighet att få privilegierad åtkomst på datorer där Origin var installerat. För att en angripare skulle kunna utnyttja den här sårbarheten hade de varit tvungna att logga in på datorn med ett giltigt användarkonto utan administratörsrättigheter för att sedan övertyga en administrativ användare att köra ett Origin-program med förhöjda privilegier. Den administrativa användaren måste godkänna en uppmaning från UAC för att kunna göra det här.
Den här uppdateringen löser även ett andra allvarligt problem i Origin (EaseC-2020-003), upptäckt av Ahmed El Monairy. Det är ett problem med så kallad cross-site scripting (XSS) vilket kan göra det möjligt för en fjärrangripare att köra okontrollerad JavaScript mot Origin-klientens vänlista. En angripare kan använda den här sårbarheten för att komma åt känsliga data, eller för att kontrollera eller övervaka den angripna vänlistans chattfönster i Origin.
Vi vill tacka säkerhetscommunityn för sårbarhetsbidragen och deras positiva interaktioner med oss under vårt samarbete för att skydda spelare och spelcommunityn i stort.