Zusammenarbeit mit externen Sicherheitsforschern
Origin-Sicherheitsupdate
Von Adrian Stone, Sr. Director, EA Product Security
10. Dezember 2019
Heute wurde eine aktualisierte Version des Origin-Clients veröffentlicht, um eine zuvor entdeckte Sicherheitslücke zu schließen. Unter bestimmten Umständen konnte das Problem dazu führen, dass ein gültiger Nutzer mit eingeschränkten Berechtigungen privilegierten Zugriff auf Computern erhielt, auf denen Origin installiert ist.
Das Update ist bereits im Origin-Client implementiert und kann direkt hier heruntergeladen werden. Während unserer Untersuchung und der Entwicklung des Updates konnten wir keine Hinweise darauf finden, dass die Sicherheitslücke ausgenutzt wurde.
Das Problem wurde uns ursprünglich über unser Programm zum Einsenden von Sicherheitslücken mitgeteilt. Wir möchten uns sowohl bei Wassili Kravetz von AMonitoring als auch bei Matt Nelson bedanken, die eng mit uns während unserer Untersuchung und der Entwicklung der Problembehebung in Übereinstimmung mit den Praktiken zur koordinierten Veröffentlichung von Sicherheitslücken zusammengearbeitet haben.
Wir haben einen Sicherheitshinweis mit zusätzlichen Informationen zu der Sicherheitslücke sowie einen Hilfe-Artikel veröffentlicht, in dem das Update näher beschrieben ist.
Es handelt sich um ein sehr spezifisches Problem, das uns auch in anderen Bereichen der Spieleindustrie aufgefallen ist. Deshalb dachten wir uns, dass es sich lohnt, einige zusätzliche Hintergründe darüber zu teilen, wie es zu dem Problem gekommen ist.
Da viele der PC-Spieler, die Origin verwenden, Gaming-PCs oder leistungsstarke Laptops verwenden, wurde der Origin-Client mit der Annahme konzipiert, das alle Benutzer High-End-Nutzer sind und jederzeit vollständige administrative Rechte über ihr System besitzen. Seither hat sich der Industriestandard verändert. Mehr Leute, darunter auch einige Spieler, nutzen ihren Computer als Standardnutzer mit beschränkten Zugriffen. Einige davon erstellen mehrere Konten für weitere Nutzer mit beschränktem Zugriff, mit denen sie sich ihr System teilen. Das in Sicherheitskreisen „Least Privilege“ (geringste oder wenigste Rechte) genannte Prinzip hilft dabei, potenzielle Bedrohungen durch Sicherheitslücken und Probleme einzugrenzen. Hersteller von Betriebssystemen orientieren sich seit Neustem ebenfalls daran und haben Änderungen an ihren Betriebssystemen durchgeführt, um sie an die neuen Gegebenheiten anzupassen.
Sollte ein Angreifer versuchen, die Sicherheitslücke auszunutzen, müsste er sich mit einem gültigen Benutzerkonto anmelden, das kein Administrator ist. Dann müsste er ein speziell kodiertes Programm installieren oder Code ausführen, der einen Teil der Software modifiziert, um erweiterten Zugriff zu erhalten.
Die meisten unserer derzeitigen Origin-Benutzer verfügen bereits über Administratorberechtigungen und sind das einzige Benutzerkonto auf ihrem Computer (die Anzahl der Benutzer ohne Administratorberechtigungen liegt insgesamt unter 5 %). Dadurch sind die meisten Nutzer nicht anfällig für die Sicherheitslücke, da keine weiteren Berechtigungen gewährt werden können.
Das Problem wirkt sich zwar nur auf eine geringe Anzahl von Spielern mit dem Origin-Client aus, aber uns liegt die Sicherheit jedes einzelnen Nutzers am Herzen. Deswegen freuen wir uns, das Problem mit dem heutigen Update und der Einführung des zugriffsbeschränkten Modus behoben zu haben. Wir sind auch entschlossen, in Hinblick auf Origin und den zugriffsbeschränkten Modus in zukünftigen Versionen weiterhin nach den „Least Privilege“-Prinzipien und basierend auf unseren neuen Erkenntnisse zu handeln. Positive Zusammenarbeit wie diese zwischen Sicherheitsforschern und Spieleentwicklern erhöhen den Sicherheitsstandard für alle.
