Sicherheitslücke beim Cross-Site-Scripting im Origin Client

Schwere: Wichtig

CVSS-Score: 8,2

Symptom: Manipulation

Status: Behoben

Betroffene Software: Origin Version 10.5.86 (oder älter) für Mac & PC

CVE-ID: CVE-2020-15914

Beschreibung

Im Origin Client besteht eine Sicherheitsanfälligkeit für Cross-Site-Scripting (XSS), die es einem entfernten Angreifer ermöglichen könnte, beliebiges JavaScript im Origin Client eines Zielbenutzers auszuführen. Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um auf vertrauliche Daten zuzugreifen, die mit dem Origin-Konto des Zielnutzers in Verbindung stehen, oder um das Origin-Chat-Fenster zu steuern oder zu überwachen.

Angriffsszenario

Um die Sicherheitsanfälligkeit erfolgreich zu nutzen, muss sich der Angreifer über ein gültiges Origin-Konto beim Origin Client anmelden und mit der Chat-Funktion von Origin eine spezielle Nachricht an das betroffene System senden. Die spezielle Nachricht enthält eine JavaScript-Nutzlast, die im Origin Client beim nächsten Start des Clients ausgeführt wird.

1. Wenn die Nachricht übermittelt wird und das System den Origin Client zu diesem Zeitpunkt nicht ausführt, wird die Nutzlast ausgeführt, wenn der Benutzer als nächstes den Origin Client ausführt.
2. Wenn der Benutzer bereits den Origin Client ausführt, wenn die Nachricht übermittelt wird, wird die Nutzlast nicht sofort ausgeführt. Der Angreifer muss warten, bis der Benutzer den Origin Client neu startet, oder den Benutzer auf andere Weise davon überzeugen, den Origin Client neu zu starten.

Schadensbegrenzende Maßnahmen

Schadensbegrenzende Maßnahmen beschreiben Faktoren, mit denen die Erfolgschancen oder die Auswirkungen eines Angriffs, der die Sicherheitslücke ausnutzt, eingeschränkt werden kann.

• Die vom Angreifer an das betroffene System gesendete Nutzlast wird nur ausgeführt, wenn Origin auf dem System des Zielbenutzers startet. Wenn Origin bereits auf dem Zielsystem läuft, muss der Angreifer den Zielbenutzer davon überzeugen, seinen Origin Client neu zu starten, oder warten, bis der Benutzer seinen Origin Client neu startet.
• Ein Angreifer kann nur Chat-Nachrichten an einen bestimmten Benutzer senden, wenn der Benutzer in der Freundesliste des Angreifers ist. Um einen beliebigen Origin-Benutzer anzugreifen, der nicht auf seiner Freundesliste steht, muss der Angreifer den Benutzer zunächst davon überzeugen, eine Origin-Freundschaftsanfrage anzunehmen.

Alternative Präventionsmaßnahmen

Alternative Präventionsmaßnahmen sind Schritte, die EA-Kunden ergreifen können, um das Risikopotenzial eines Angriffs zur Ausnutzung der Sicherheitslücke zu verringern, wenn sie das Update nicht installieren können oder wollen.

• Es gibt keine Umgehungslösungen für diese Sicherheitslücke. Um die Sicherheitsanfälligkeit zu beheben, sollten die Spieler den erläuterten Schritten im Abschnitt "Auflösungsverfahren" dieser Empfehlung folgen.

Auflösung

Um die Sicherheitslücke zu schließen, empfehlen wir Spielern mit Administratorrechten, die neueste Version des Origin Clients 10.5.87 zu installieren.

Bei der nächsten Spieler-Anmeldung muss der Spieler ein Update installieren, bevor er seine Anmeldedaten eingibt. Wenn er bereits angemeldet ist, muss Origin neu gestartet werden, um das Update zu erhalten.

Häufig gestellte Fragen

Wie wird der Schweregrad bestimmt?

Die Schwere des Problems wird auf einer vierstufigen Skala festgelegt, die von „niedrig“ bis „kritisch“ reicht. Im Rahmen unserer Untersuchung bestimmen Sicherheitsbeauftragte, wie leicht die Sicherheitslücke auszunutzen ist und wie ein Angreifer dazu vorgehen müsste. In der Regel wird ein Problem immer dann als schwerwiegend eingestuft, wenn es leichter auszunutzen ist und die Sicherheit stärker beeinträchtigt. Hier finden Sie weitere Informationen zur Klassifizierung von Sicherheitswirkung und Schweregrad.

Was ist die Ursache der Sicherheitslücke?

Die Sicherheitsanfälligkeit wird durch die Methode verursacht, die zum Ausführen von Text-Chat-Nachrichten durch den Webbrowser des Origin Clients verwendet wird. Dadurch kann ein Angreifer beliebiges JavaScript zur Verfügung stellen, das auf dem Origin Client eines Zielnutzers unter der Autorität der www.Origin.com-Domain ausgeführt wird.

Kann diese Sicherheitslücke genutzt werden, um auf das Origin-Konto eines Spielers zuzugreifen oder es zu stehlen?

Diese Sicherheitsanfälligkeit kann nicht verwendet werden, um auf das Origin-Konto eines Spielers zuzugreifen oder es zu stehlen oder auf seine authentifizierte Origin-Client-Sitzung zuzugreifen.

Auf welche sensiblen Daten kann man über diese Sicherheitslücke zugreifen?

Diese Sicherheitsanfälligkeit kann verwendet werden, um auf die Inhalte der Chat-Nachrichten des Spielers, die Freundesliste des Spielers, die Erfolge des Spielers, die Liste der im Besitz befindlichen Spiele und die Wunschliste des Spielers zuzugreifen.

Woher weiß ich, ob mich diese Sicherheitslücke betrifft?

Wenn auf dem System die Origin-Client-Version 10.5.86 (oder älter) installiert ist, ist sie anfällig für dieses Problem.

Wie wird die Sicherheitslücke durch das Update behoben?

Das Update implementiert clientseitige und serverseitige Inhaltsbereinigung und Validierung für die Inhalte, die in Text-Chat-Nachrichten gesendet und empfangen werden.

Wurde diese Sicherheitslücke gegenüber EA-Kunden ausgenutzt?

Nein. Zum Zeitpunkt der Veröffentlichung dieses Sicherheitshinweises sind uns keine Angriffe auf EA-Spieler bekannt, bei denen diese Sicherheitslücke ausgenutzt wurde.

Danksagung

EA bedankt sich bei den folgenden Sicherheitsexperten für das Entdecken und Melden der Sicherheitslücke in Übereinstimmung mit Praktiken zur koordinierten Veröffentlichung von Sicherheitslücken (Coordinated Vulnerability Disclosure):

• Ahmed El-Monairy

Veröffentlichungsdatum: 29. Oktober 2020

Version: 1.0