Říjnová aktualizace zabezpečení Originu

Autor: Adrian Stone, senior ředitel, Bezpečnost produktů EA – 29. října 2020

Dnes jsme vydali aktualizovanou verzi klienta služby Origin, kde jsou opraveny dvě chyby zabezpečení vysoké závažnosti. Oba problémy nám byly oznámeny soukromě prostřednictvím našeho programu pro zasílání chyb v zabezpečení produktu. Nemáme žádné důkazy o tom, že by tyto chyby byly zneužity proti našim zákazníkům. Pokud jste se už přihlásili do klienta služby Origin, pravděpodobně vám byla tato aktualizace nabídnuta. Také si ji můžete stáhnout přímo zde. Vydali jsme dvě bezpečnostní upozornění s podrobnostmi o chybách, které byly odstraněny v této aktualizaci.

První chybu (EASEC-2020-002) objevili Xavier Danest – Decathlon a Tom Wilson z Nettitude. Tento problém zapříčinil, že oprávněný uživatel s omezenými povoleními získal přístup privilegované úrovně k počítačům s nainstalovaným Originem. Pokud by se útočník pokusil zneužít tuto chybu v zabezpečení, musel by se přihlásit k počítači s platným uživatelským účtem bez administrátorských práv a přesvědčit uživatele s administrátorskými právy ke spuštění aplikace Origin se zvýšenými oprávněními. K tomu by bylo nutné schválení výzvy UAC ze strany uživatele s administrátorskými právy.

Tato aktualizace rovněž řeší druhý problém vysoké závažnosti v Originu (EASEC-2020-003), který objevil Ahmed El-Monairy. Jedná se o chybu zabezpečení skriptování mezi weby (XSS), která by mohla umožnit vzdálenému útočníkovi spustit libovolný JavaScript proti seznamu přátel v klientovi služby Origin. Útočník by mohl tuto chybu v zabezpečení využít k přístupu k citlivým údajům nebo sledování chatovacího okna Origin cíleného člena ze seznamu přátel.

Chceme poděkovat komunitě pro výzkum bezpečnosti za zaslání těchto chyb, pozitivní komunikaci a spolupráci na ochraně hráčů a širší herní komunity.