作者:Adrian Stone,EA 產品安全性高級總監,2020 年 10 月 29 日
Origin用戶端程式的更新版本已於今天發布,解決了兩個高嚴重性的安全性漏洞問題。這兩個問題最初是透過我們的產品安全性漏洞提交計畫,以機密方式向我們報告的。沒有證據顯示我們的客戶在任何時候曾經使用了任一漏洞。如果您已登入 Origin用戶端程式,可能已經收到了此更新。您也可以直接在這裡下載。我們公布了兩個安全性建議,其中詳細說明了此更新所解決的漏洞問題。
第一個問題 (EASEC-2020-002) 是由 Xavier Danest - Decathlon 和 Nettitude 的 Tom Wilson 所發現。此問題會讓只有有限權限的有效使用者,在安裝了 Origin 的電腦上獲得高等級的存取權限。如果攻擊者試圖利用此漏洞,他們就必須使用有效的非管理員使用者帳號登入電腦,然後說服管理使用者以較高的權限執行 Origin 應用程式。管理使用者必須核准 UAC 提示才能進行此操作。
此版本也解決了由 Ahmed El-Monairy 所發現的第二個高嚴重性問題 (EASEC-2020-003)。這是跨網站指令檔 (XSS) 漏洞,讓遠端攻擊者可對 Origin用戶端程式好友名單執行任意 Javascript。攻擊者可能會使用此漏洞存取機密資料,或控制、監控目標好友名單成員的 Origin 文字聊天視窗。
我們衷心感謝安全性研究社群與我們合作提交漏洞並進行正面互動,以保護玩家和更廣泛的遊戲社群。