作者：Adrian Stone，EA 產品安全性高級總監

2019 年 12 月 10 日

Origin用戶端程式的更新版本已於今天發布，以解決之前發現的安全性漏洞問題。 在特定情況下，該問題可能會允許只有有限權限的有效使用者在安裝了 Origin 的電腦上獲得高等級的存取權限。

此更新已在 Origin 用戶端程式中發布，也可在這裡直接下載。 在調查和開發此更新的整個過程中，我們沒有發現該漏洞已遭利用的任何證據。

這個問題最初是透過我們的產品安全性漏洞提交計畫向我們報告的。我們想要感謝 AMonitoring 的 Vasily Kravetz 和 Matt Nelson，他們在整個調查與修正程式開發過程中，依照「協調漏洞披露實務 (Coordinated Vulnerability Disclosure Practices)」與我們展開了密切合作。

我們已經發布了安全性公告，提供了關於此漏洞的更多細節，以及更詳細描述此更新的說明文章。

這是一個非常具體同時影響了遊戲行業其他部門的問題。 因此，我們認為有必要分享關於其發展的更多背景資訊。

因為大部分 Origin 上的 PC 玩家會組裝遊戲 PC 並使用高階遊戲筆記型電腦，因此 Origin 用戶端的建構方式是假設所有使用者都是擁有高能力的使用者，並想要隨時對其系統具有完整的管理控制能力。 從那時候起，產業的標準開始發生變化。更多的人，包括某些玩家，則是以「有權限限制的」標準使用者身分使用他們的電腦。 少數人會為其他有權限限制的使用者建立帳號，和一位以上的人員共享系統。這種做法在安全性範疇中被稱為「最低權限」，有助於在潛在安全性問題發生時限制其對安全性的影響。 作業系統供應商最近已開始認知到這種轉變，並已對其作業系統進行變更，以因應這種景況的改變。

如果攻擊者試圖利用此漏洞，他們就必須使用有效的非管理員使用者帳號登入電腦。還必須安裝特製的程式，或是執行會修改軟體組成部分的程式碼，以獲得更高級的存取權限。

我們目前絕大多數的 Origin 使用者已經具有管理員層級的存取權限，且是電腦上唯一的使用者帳號（沒有管理員層級存取權限的使用者數量不到我們 Origin 總使用者數量的 5％）。這使得大多數的使用者都不太可能會利用該漏洞，因為無法從中獲得任何進一步的存取或權限。

雖然只有少數安裝了 Origin用戶端程式的玩家會遭遇到這個問題，但是每個使用者的安全和保障對我們來說都很重要，因此我們很高興在今天的更新中引入「限制存取模式」並解決了這個問題。我們也致力於根據我們已獲得的洞察見解，在未來的版本中改善 Origin 和「限制存取模式」的最低權限原則使用方式。安全性研究社群與遊戲發行商之間的這種積極互動正在提高所有人的安全性標準。