Chyba zabezpečení skriptování mezi weby v klientovi Originu

Závažnost: Důležitá

CVSS skóre: 8,2

Dopad: nepovolená manipulace

Stav: Opraveno

Ovlivněný software: Origin pro Mac a PC verze 10.5.86 (nebo starší)

CVE ID: CVE-2020-15914

Popis

V klientovi Originu existuje chyba zabezpečení skriptování mezi weby (XSS), která by mohla umožnit vzdálenému útočníkovi spustit u cílového uživatele libovolný JavaScript v klientovi služby Origin. Útočník mohl tuto chybu v zabezpečení využít k přístupu k citlivým údajům o účtu Origin cílového uživatele nebo k ovládání či sledování chatovacího okna Origin.

Útočný scénář

K úspěšnému zneužití této chyby se útočník musí přihlásit do klienta služby Origin prostřednictvím platného účtu Origin a přes chat odeslat speciálně vytvořenou textovou zprávu do postiženého systému. Vytvořená zpráva obsahuje JavaScript, který se spustí v klientovi Origin při jeho příštím otevření.

1. Je-li zpráva doručena a v systému v danou chvíli neběží klient služby Origin, JavaScript se spustí v okamžiku, kdy uživatel příště otevře klienta Origin.
2. Pokud má uživatel v okamžiku, kdy je zpráva doručena, spuštěn klienta Origin, JavaScript se neprovede okamžitě. Útočník musí počkat, než uživatel restartuje klienta služby Origin, nebo jinak přesvědčit uživatele k restartování klienta služby Origin.

Omezení rizika

Omezení rizika popisuje faktory snižující pravděpodobnost či dopad útočníka ohledně úspěšného zneužití této chyby v zabezpečení.

• Škodlivý software odeslaný útočníkem do postiženého systému se spustí až tehdy, kdy se Origin spustí v systému cílového uživatele. Pokud je Origin v cílovém systému už spuštěný, musí útočník přesvědčit daného uživatele, aby klienta služby Origin restartoval, nebo počkat, až uživatel klienta Origin sám restartuje.
• Útočník může odeslat textovou zprávu přes chat pouze konkrétnímu uživateli, pakliže se daný uživatel nachází v útočníkově seznamu přátel. K útoku na libovolného uživatele Originu, který není na jeho seznamu přátel, musí útočník nejprve přesvědčit uživatele, aby přijal jeho žádost o přátelství na Originu.

Řešení

Zástupná řešení jsou kroky, které mohou zákazníci EA provést za účelem ztížit útočníkovi možnost zneužití této chyby, pakliže nemohou / se nerozhodnou nainstalovat aktualizaci.

• Pro tuto chybu zabezpečení neexistují zástupná řešení. K odstranění této chyby by se měli hráči řídit kroky uvedenými v tomto upozornění v sekci Usnesení.

Usnesení

Hráčům s administrátorskými právy se doporučuje nainstalovat nejnovější verzi klienta Origin – verzi 10.5.87.

Při příštím přihlášení bude dotyčný hráč vyzván před zadáním svých přihlašovacích údajů k nainstalování aktualizace. Pokud je už přihlášen, bude nutné Origin z důvodu nainstalování aktualizace restartovat.

Často kladené dotazy

Jak se určuje závažnost problému?

Závažnost problému se určuje podle čtyřstupňové klasifikace od kritické po nízkou. Součástí našeho šetření je stanovení celkové snadnosti zneužití chyby a postupu k úspěšnému zneužití chyby ze strany útočníka. Obecně platí, že čím méně překážek na cestě ke zneužití v kombinaci s vyšším dopadem na bezpečnost, tím vyšší bude stanovená závažnost problému. Více informací o tom, jak určujeme dopad na bezpečnost a závažnost, najdete zde.

Co způsobuje zranitelnost?

Tato chyba zabezpečení je způsobena metodou používanou k vykreslení textových zpráv chatu webovým prohlížečem klienta služby Origin. Útočníkovi umožňuje odesílat libovolný JavaScript, který bude spuštěn v klientovi Origin cílového uživatele pod správou domény www.origin.com.

Může být tato chyba zabezpečení zneužita k přístupu na hráčův účet Origin nebo k jeho krádeži?

Tuto chybu zabezpečení nelze zneužít k přístupu na hráčův účet Origin nebo k jeho krádeži ani k přístupu k ověřené relaci klienta služby Origin.

Jaké citlivé údaje jsou přístupné prostřednictvím této chyby zabezpečení?

Tuto chybu zabezpečení lze zneužít k přístupu k obsahu hráčových chatovacích zpráv, hráčově seznamu přátel, hráčových herních úspěchů, hráčově seznamu vlastněných her a hráčově seznamu přání.

Jak se dozvím, že jsem ohrožen?

Pokud je v systému nainstalovaný klient Origin verze 10.5.86 nebo dřívější, je touto chybou ohrožen.

Jak aktualizace tuto chybu řeší?

Aktualizace implementuje na straně klienta i serveru ošetření a ověření obsahu, který je odesílaný a přijímaný v textových zprávách přes chat.

Byla tato chyba zabezpečení využita proti zákazníkům společnosti EA?

Ne. V době zveřejnění tohoto upozornění si nejsme vědomi žádných útoků proti hráčům EA, které by zneužívaly tuto chybu.

Poděkování

EA děkuje následujícímu výzkumnému pracovníkovi za odhalení chyby a její nahlášení v souladu s postupy v rámci Koordinovaného zveřejňování informací o zranitelnosti produktů:

• Ahmed El-Monairy

Datum publikace: 29. října 2020

Verze: 1.0