圖片來源: 

Underdog Security

遊戲出版商Electronic Arts(EA)在本周修補了安裝於Windows電腦上的Origin客戶端程式,原因為該程式含有允許遠端程式攻擊的安全漏洞。

此一漏洞是由Underdog Security的兩名安全研究人員Daley Bee與Dominik Penner所揭露。Origin為EA使用者用來購買、下載及存取遊戲的客戶端程式,根據TechCrunch的描述,為了讓玩家更容易自網路上存取個別的遊戲,Origin採用自己的URL手法,只要點擊以origin://開頭的網址,就能啟用程式並載入遊戲。

至於研究人員則發現,他們能夠在origin://網址的title參數中,執行客戶端模板注射(template injection),以繞過AngularJS沙箱,進而在使用者的電腦上執行任意程式。

Bee及Penner設計了一個概念性驗證攻擊程式,藉由點選一個惡意連結,便可啟用Origin且同時跳出Windows內建的小算盤。

該漏洞亦允許駭客竊取使用者的帳號憑證,或是傳送惡意的PowerShell命令,最糟的狀況可能導致系統被掌控。

此一漏洞只影響Windows版的Origin用戶,並未波及Mac版Origin用戶,EA則已釋出更新程式。


熱門新聞

Advertisement