• EASEC-2020-003 Origin 客户端中的跨站脚本攻击漏洞

    严重性:重要

    CVSS 评分:8.2

    影响:篡改

    状态:已修复

    受影响的软件:Mac 和 PC版 的 Origin 客户端,10.5.86 版(或更早的版本)

    CVE ID:CVE-2020-15914

    描述

    Origin 客户端中存在跨站脚本攻击 (XSS) 漏洞,可能让远程攻击者针对目标用户的Origin 客户端执行任意 Javascript。攻击者可以会利用此漏洞来访问与目标用户的 Origin 帐户相关的敏感数据,或者控制或监视 Origin 文本聊天窗口。

    攻击脚本

    要成功利用此漏洞,攻击者必须使用有效的 Origin 帐户登录到 Origin 客户端,并使用 Origin 文本聊天功能向受影响的系统发送特制的文本聊天消息。精心制作的消息包含一个 Javascript 有效负载,将在客户端下一次启动时在 Origin 客户端执行。

    1. 如果消息已被送达,且系统未在当时运行 Origin 客户端,则在用户下一次运行 Origin 客户端时,该装载内容将会被执行。
    2. 如果用户在送达消息时已经运行了 Origin 客户端,则无法立即执行该装载内容。攻击者必须等待用户重启 Origin 客户端,或以其他方式说服用户重启其 Origin 客户端。

    缓解措施

    缓解措施描述了限制攻击者成功利用该漏洞的可能性或影响的各种因素。

    • 只有当 Origin 在目标用户的系统上启动时,攻击者向受影响系统发送的有效加载内容才会被执行。如果 Origin 已经在目标系统上运行,攻击者必须说服目标用户重新启动他们的 Origin 客户端,或等待用户重新启动 Origin 客户端。
    • 如果用户在攻击者的好友列表中,则攻击者只能向特定用户发送文本聊天消息。要攻击不在好友列表中的任意 Origin 用户,攻击者必须先说服该用户接受 Origin 好友请求。

    应急方案

    应急方案是EA客户可以采取的措施,若客户无法或选择不安装更新,也可以通过这个方法减低攻击者利用此漏洞的可能性。

    • 此漏洞没有应急方案。为了解决该漏洞,玩家应遵循本公告中的“解决方案”部分中所述的步骤。

    分辨率

    为了修复此漏洞,我们建议具有管理员权限的玩家安装最新版本的 Origin 客户端(10.5.87 版)。

    在下次玩家登录时,玩家需要更新后再输入自己的用户凭证。如果已经登录,玩家需要重启 Origin 客户端以获得更新。

    常见问题

    如何决定问题严重性?

    我们按照“严重”至“低”4分标准对问题严重性进行评分。在调查过程中,软件安全工程师确认该漏洞是否易遭滥用,以及攻击者若要成功利用漏洞的所需条件。一般情况下,利用漏洞存在的障碍越少,对安全造成的影响越大,问题严重性评分就越高。有关我们如何对安全影响和危害性进行分级的更多信息,可以点击此处查阅。

    是什么导致此漏洞出现?

    该漏洞是由 Origin 客户端的网络浏览器用于呈现文本聊天信息的方法所引起。这使得攻击者能够提供任意 Javascript 代码,并在目标用户的 Origin 客户端上以www.origin.com 域的授权执行此代码。

    此漏洞是否可用于访问或窃取玩家的 Origin 帐户?

    此漏洞无法用于访问或窃取玩家的 Origin 帐户,也无法访问其经过身份验证的 Origin 客户端会话。

    利用此漏洞可以访问哪些敏感数据?

    此漏洞可用于访问玩家的聊天信息、玩家的好友列表、玩家的成就、玩家的所属游戏列表和玩家的愿望清单。

    如何知道我的系统是否存在此漏洞?

    如果在系统上安装了 10.5.86 版或更早版本的 Origin 客户端,那么您的系统中存在此漏洞。

    本次更新如何解决漏洞?

    更新针对文本聊天消息中所发送和接收的内容,本次在客户端和服务器端实施内容消毒和验证。

    是否有攻击者利用此漏洞攻击了 EA 客户?

    没有。直至此公告发布时间为止,我们并未收到有关 EA 玩家遭受此漏洞攻击的任何报告。

    特别鸣谢

    EA 特此向以下安全研究员表达谢意,感谢您遵循漏洞协同披露指南,向我们提交相关问题的报告:

    发布日期: 2020 年 10 月 29 日

    版本:1.0

    相关资讯

    管理您的cookie偏好设置