今天,我们发布了 Origin 客户端的更新版本,以解决两个高危级别的安全漏洞。这两个安全问题都是通过我们的产品安全漏洞提交计划以保密形式向我们报告的。在任何时候,没有证据表明有任何漏洞会被用于针对我们的客户。如果您已经登录至 Origin 客户端,您很可能已经获得了更新。您也可以点击此处直接下载。我们发布了两份安全公告,详细介绍了此次更新所解决的安全漏洞。
第一个安全问题 (EASEC-2020-002) 由 Xavier Danest - Decathlon 和 Nettitude 的Tom Wilson 发现。这个问题允许一个具有有限权限的有效用户在安装了 Origin 的计算机上获得特权级访问。如果攻击者试图利用这个漏洞,他们需要用有效的非管理员用户账户登录计算机,并说服管理员用户运行具有高权限的 Origin 应用程序。管理用户需要批准 UAC 提示才能执行此操作。
这个版本还解决了 Ahmed El-Monairy 发现的 Origin 中的第二个高危安全问题 (EASEC-2020-003)。这是一个跨站脚本攻击 (XSS) 漏洞,可能让远程攻击者针对 Origin 客户端的好友列表执行任意 Javascript。攻击者可以利用这个漏洞访问敏感数据,或者控制或监视目标好友列表成员的 Origin 文本聊天窗口。
我们要感谢安全研究社区提交的漏洞,以及他们与我们的积极互动,我们一起努力保护玩家和广大游戏社区。