Vulnerabilidade de Cross-Site Scripting no Cliente Origin

Gravidade: Importante

Pontuação CVSS: 8,2

Impacto: Adulteração

Status: Corrigida

Software afetado: Origin para Mac e PC versão 10.5.86 (ou anterior)

ID do CVE: CVE-2020-15914

Descrição

Existe uma vulnerabilidade do tipo cross-site scripting (XSS) no Cliente Origin que pode permitir que uma invasão remota execute código JavaScript arbitrário no Cliente Origin em uso. A pessoa que invadir pode usar esta vulnerabilidade para acessar dados confidenciais relacionados à conta Origin em uso, ou para controlar ou monitorar a janela de bate-papo por texto do Origin.

Cenário de ataque

Para explorar a vulnerabilidade com sucesso, a pessoa que invadir precisa fazer login no Cliente Origin usando uma conta Origin válida e usar a funcionalidade de bate-papo por texto do Origin para enviar uma mensagem de bate-papo de texto especialmente criada para o sistema afetado. A mensagem criada contém um código JavaScript que será executado no Cliente Origin quando for iniciado na próxima vez.

1. Se a mensagem for entregue e o sistema não estiver executando o Cliente Origin quando isso ocorrer, a atividade será executada na próxima vez que fizerem login no Cliente Origin.
2. Se quem estiver utilizando já estiver executando o Cliente Origin quando a mensagem for entregue, a atividade não será executada imediatamente. A pessoa que invade precisa esperar que quem estiver utilizando reinicie o Cliente Origin ou convencer quem estiver utilizando a reiniciar o Cliente Origin.

Atenuações

As atenuações descrevem fatores que limitam a probabilidade ou impacto de uma invasão fazer uso efetivo da vulnerabilidade.

• O código enviado por quem invade para o sistema afetado só será executado quando o Origin for iniciado no sistema em uso. Se o Origin já estiver em execução no sistema-alvo, quem invade deve convencer quem estiver utilizando a reiniciar o Cliente Origin ou esperar que quem estiver utilizando o reinicie.
• A pessoa que invade só pode enviar mensagens de bate-papo de texto para uma pessoa específica, se quem estiver utilizando estiver na lista de amizades de quem invade. Para atacar uma pessoa arbitrária que estiver utilizando o Origin que não esteja em sua lista de amizades, quem invade precisa primeiro convencer quem estiver utilizando a aceitar uma solicitação de amizade no Origin.

Solução alternativa

As soluções alternativas são medidas que os clientes da EA podem tomar para reduzir o potencial de um invasor fazer uso da vulnerabilidade se não for possível ou se optarem por não instalar a atualização.

• Não há soluções para esta vulnerabilidade. Para resolver a vulnerabilidade, as pessoas que jogam devem seguir as etapas descritas na seção de Resolução deste aviso.

Resolução

Para abordar a vulnerabilidade, recomendamos àqueles com direitos de Administrador que instalem a versão mais recente do Cliente Origin, 10.5.87.

No próximo login, quem joga terá que fazer a atualização antes de inserir suas credenciais. Se a pessoa já estiver conectada, será necessário reiniciar o Origin para obter a atualização.

Perguntas frequentes

Como a gravidade do problema é determinada?

A severidade do problema é baseada em uma escala de 4 pontos que varia de crítica a baixa. Como parte da nossa investigação, os engenheiros de segurança determinam a facilidade geral de exploração e como um invasor precisaria explorar a vulnerabilidade com sucesso. Normalmente, quanto menos obstáculos existirem para a exploração, em combinação com um maior impacto de segurança, mais alta será a gravidade do problema. Mais informações sobre como nós classificamos a gravidade e o impacto de segurança podem ser encontradas aqui.

O que causa a vulnerabilidade?

A vulnerabilidade é causada pelo método usado para processar mensagens de bate-papo por texto pelo navegador da Web do Cliente Origin. Isto permite que uma invasão forneça código JavaScript arbitrário, que será executado no Cliente Origin em uso sob a autoridade do domínio www.origin.com.

Esta vulnerabilidade pode ser utilizada para acessar ou roubar a conta Origin de quem joga?

Esta vulnerabilidade não pode ser utilizada para acessar ou roubar a conta Origin de quem joga ou acessar sua sessão autenticada do Cliente Origin.

Quais dados confidenciais podem ser acessados usando esta vulnerabilidade?

Esta vulnerabilidade pode ser utilizada para acessar o conteúdo das mensagens de bate-papo, a lista de amizades, as conquistas, a lista de jogos e a lista de desejos de quem joga.

Como saber se estou vulnerável

Se a versão do Cliente Origin 10.5.86 ou anterior estiver instalada, o sistema estará vulnerável a este problema.

Como a atualização resolve a vulnerabilidade?

A atualização implementa a sanitização e validação do conteúdo enviado e recebido nas mensagens de texto do bate-papo no lado de quem é cliente e no lado do servidor.

Esta vulnerabilidade foi utilizada contra clientes da EA?

Não. No momento da publicação deste aviso, não estamos cientes de nenhum ataque que faça uso desta vulnerabilidade contra clientes da EA.

Reconhecimento(s)

A EA agradece ao seguinte pesquisador de segurança por sua descoberta e por relatá-la para nós de acordo com as práticas da Divulgação de Vulnerabilidade Coordenada:

• Ahmed El-Monairy

Data de publicação: 29 de outubro de 2020

Versão: 1.0