Origin用戶端程式中的跨網站指令檔漏洞
EASEC-2020-003
嚴重性:重要
CVSS 評分:8.2
影響:篡改
狀態:已修正
受影響的軟體:Mac 與 PC 上的 Origin 10.5.86 或更早版本
CVE ID:CVE-2020-15914
敘述
Origin用戶端程式中存在跨網站指令檔 (XSS) 漏洞,這會讓遠端攻擊者可以在目標使用者的 Origin用戶端程式中執行任意 JAVAscript。攻擊者可能會使用此漏洞取得與目標使用者 Origin 帳號相關的機密資料,或是控制、監控 Origin 文字聊天視窗。
攻擊方式
若要成功利用此漏洞,攻擊者必須使用有效的 Origin 帳號登入 Origin用戶端程式,並使用 Origin 的文字聊天功能,將特製的文字聊天訊息傳送至受影響的系統。特製的訊息中包含 Javascript 內容,可在下一次啟動 Origin用戶端程式時於用戶端中執行。
- 如果訊息已傳送,且系統目前未執行 Origin用戶端程式,則在使用者下一次執行 Origin用戶端程式時會執行該內容。
- 如果使用者在傳遞訊息時已經在執行 Origin用戶端程式,則該內容不會立即執行。攻擊者必須等待使用者重新啟動 Origin用戶端程式,或以其他方式說服使用者重新啟動其 Origin用戶端程式。
緩解措施
緩解措施將說明可以限制攻擊者成功利用漏洞之可能性或影響的因素。
- 攻擊者傳送到受影響的系統上的內容,只會在 Origin 於目標使用者系統啟動時執行。如果目標系統上已在執行 Origin,攻擊者必須說服目標使用者重新啟動其 Origin用戶端程式,或等待使用者重新啟動其 Origin用戶端程式。
- 如果使用者位於攻擊者的好友名單上,則攻擊者只能向特定使用者發送文字聊天訊息。若要攻擊不在好友名單上的任意 Origin 使用者,攻擊者必須先說服使用者接受 Origin 好友申請。
因應方式
因應方式是 EA 客戶在無法安裝或選擇不安裝更新的情況下,減少攻擊者成功利用漏洞可能性的步驟。
- 沒有針對此漏洞的因應方式。若要解決此漏洞,玩家應依照此建議措施中「解決辦法」一節所述的步驟。
解析度
若要解決漏洞問題,建議擁有管理員權限的玩家安裝最新版本的 Origin用戶端程式,即 10.5.87 版。
在下一次登入時,玩家必須在輸入其憑證前進行更新。如果已經登入,則必須重新啟動 Origin 以獲取更新。
常見問答
問題嚴重性是如何決定的?
問題嚴重性是根據從「嚴重」到「低」的四點量表決定的。在我們調查期間,安全工程師會確認利用漏洞的整體難易程度以及攻擊者如何成功利用漏洞。一般來說,利用漏洞的阻礙越少對安全性的影響就越高,這種情況就會被指定為更高的問題嚴重性。關於我們如何對安全性影響和嚴重性分類的更多資訊,請參閱此處。
造成該漏洞的原因是什麼?
此漏洞是由 Origin用戶端程式的網頁瀏覽器用來呈現文字聊天訊息的方法所造成的。這讓攻擊者能夠提供任意 Javascript,其會在 www.origin.com 網域的授權下,在目標使用者的 Origin用戶端程式上執行。
此漏洞是否可以用來存取或竊取玩家的 Origin 帳號?
此漏洞無法用於存取或竊取玩家的 Origin 帳號,或存取其已驗證的 Origin用戶端程式工作階段。
使用此漏洞可取得哪些機密資料?
此漏洞可用來取得玩家的聊天訊息內容、玩家好友名單、玩家成就、玩家所擁有的遊戲清單,以及玩家的願望清單。
如何知道我是否有漏洞?
如果系統上安裝的 Origin用戶端程式的版本是 10.5.86 或更早版本則會有此漏洞。
更新檔案如何解決該漏洞?
此更新導入將在用戶端和伺服器端,對在文字聊天訊息中發送和接收的內容進行內容清理和驗證。
是否已發現有使用該漏洞對 EA 客戶造成不利的情況?
沒有。在此通報發布之時,我們並未獲知有任何利用此漏洞攻擊 EA 玩家的情況。
致謝
EA 感謝下列安全性研究者發現漏洞,並根據「協調漏洞披露 (Coordinated Vulnerability Disclosure)」實務向我們報告:
發布日期:2020 年 10 月29 日
版本:1.0