Vulnérabilité cross-site scripting dans le client Origin
EASEC-2020-003
Niveau de gravité : importante
Score CVSS : 8,2
Risque : altération
Statut : résolu
Logiciel concerné : versions 10.5.86 ou antérieures d’Origin pour Mac et PC
Identifiant CVE : CVE-2020-15914
Description
Une vulnérabilité de type cross-site scripting (XSS) est présente dans le client Origin. Elle pourrait permettre à un attaquant distant d’exécuter un code JavaScript arbitraire dans le client Origin d’un utilisateur cible. L’attaquant pourrait utiliser cette vulnérabilité pour accéder aux données sensibles associées au compte Origin de l’utilisateur cible, ou pour contrôler ou surveiller la fenêtre de chat d’Origin.
Scénario d’attaque
Pour tirer parti de la vulnérabilité, l’attaquant doit se connecter au client Origin à l’aide d’un compte Origin valide et utiliser le chat pour envoyer un message spécialement conçu au système concerné. Ce message contient une charge utile JavaScript qui s’exécutera dans le client Origin lors de son prochain démarrage.
- Si le message est envoyé et que le système n’exécute pas le client Origin à ce moment-là, la charge utile sera exécutée lorsque l’utilisateur lancera le client Origin à nouveau.
- Si l’utilisateur exécute déjà le client Origin lorsque le message est envoyé, la charge utile ne s’exécutera pas immédiatement. L’attaquant doit attendre que l’utilisateur redémarre le client Origin, ou le convaincre le faire.
Limitations
Les limitations décrivent les facteurs limitant la probabilité ou l’impact de l’exploitation de la vulnérabilité par un attaquant.
- La charge utile envoyée par l’attaquant au système concerné ne sera exécutée qu’au lancement d’Origin sur le système de l’utilisateur cible. Si Origin est déjà en cours d’exécution sur le système cible, l’attaquant doit convaincre son utilisateur de redémarrer son client Origin, ou attendre qu’il le fasse.
- Un attaquant peut uniquement envoyer des messages de chat à un utilisateur spécifique s’il se trouve sur sa liste d’amis. Pour attaquer un utilisateur Origin au hasard qui ne figure pas dans sa liste d’amis, l’attaquant doit d’abord le convaincre d’accepter une requête d’ami Origin.
Solution alternative
Il s’agit de la procédure que les clients EA peuvent suivre pour réduire les risques qu’un assaillant tire parti de la vulnérabilité s’ils ne peuvent pas ou ne souhaitent pas installer la mise à jour.
- Il n’existe pas de solution alternative pour cette vulnérabilité. Pour la résoudre, les joueurs doivent suivre les étapes décrites dans la section Résolution de cet avis.
Résolution
Pour corriger la vulnérabilité, nous conseillons aux utilisateurs disposant des droits Administrateur d’installer la dernière version (10.5.87) du client Origin.
Lors de la prochaine connexion du joueur, il lui sera demandé d’effectuer la mise à jour avant de saisir ses identifiants. S’il est déjà connecté, il devra redémarrer Origin pour obtenir la mise à jour.
Foire aux questions
Comment détermine-t-on la gravité du problème ?
La gravité du problème est basée sur une échelle de 4 points allant de Critique à Faible. Dans le cadre de notre enquête, les ingénieurs sécurité évaluent la facilité d’exploitation de la vulnérabilité et la manière dont un assaillant pourrait l’exploiter. La gravité du problème dépend de la facilité d’exploitation de la faille et de son impact potentiel sur la sécurité. Vous trouverez plus d’informations sur la classification du risque en termes de sécurité et de gravitéici.
Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est causée par la méthode de restitution des messages de chat par le navigateur Web du client Origin. Cela permet à un attaquant de fournir un JavaScript arbitraire qui s’exécutera sur le client Origin d’un utilisateur cible sous l’autorité du domaine www.origin.com.
Cette vulnérabilité peut-elle être utilisée pour accéder au compte Origin d’un joueur ou le voler ?
Cette vulnérabilité ne peut pas être utilisée pour accéder au compte Origin d’un joueur, ni pour le voler ou accéder à sa session client Origin authentifiée.
Quelles données sensibles sont accessibles avec cette vulnérabilité ?
Cette vulnérabilité permet d’accéder au contenu des messages de chat du joueur, à sa liste d’amis, à ses succès, à sa la liste de jeux possédés et à sa la liste d’envies.
Comment savoir si je suis vulnérable ?
Si le client Origin version 10.5.86 ou antérieure est installé sur votre système, il est vulnérable à ce problème.
Comment la mise à jour corrige-t-elle la vulnérabilité ?
La mise à jour exécute le nettoyage ainsi que la validation du contenu envoyé et reçu dans les messages de chat côté client et côté serveur.
Cette vulnérabilité a-t-elle été utilisée contre les clients d’EA ?
Non. Au moment de la publication de cet avis, nous n’avons pas connaissance d’attaques à l’encontre des joueurs EA tirant parti de cette faille.
Remerciement(s)
EA remercie les chercheurs en sécurité suivants pour leur découverte et leur signalement, conformément aux dispositions de la Divulgation coordonnée des vulnérabilités :
Date de publication : 29 octobre 2020
Version : 1.0