EA的數(shù)字游戲服務(wù)Ori??gin使用自己的客戶(hù)端,但結(jié)果是一個(gè)漏洞允許惡意代碼以用戶(hù)權(quán)限運(yùn)行。
無(wú)論你運(yùn)行什么軟件都沒(méi)關(guān)系,如果存在安全漏洞,黑客就會(huì)發(fā)現(xiàn)并利用它。值得慶幸的是,正是安全研究人員在EA的Origin游戲客戶(hù)端中發(fā)現(xiàn)了這樣一個(gè)漏洞,該游戲客戶(hù)端被數(shù)以千萬(wàn)計(jì)的游戲玩家使用。
正如TechCrunch報(bào)道的那樣,安全漏洞是由Underdog Security的研究人員Daley Bee和Dominik Penner發(fā)現(xiàn)的。由于EA使用了一個(gè)加載origin://地址的特殊URL,它允許黑客在與用戶(hù)相同的權(quán)限級(jí)別運(yùn)行他們想要的任何軟件。
為了證明這一缺陷,研究人員觸發(fā)Origin將Windows計(jì)算器作為概念驗(yàn)證的一部分加載。然后可以使用相同的缺陷來(lái)運(yùn)行Microsoft的PowerShell命令,這反過(guò)來(lái)意味著任何代碼都可以上傳到用戶(hù)的計(jì)算機(jī)上并執(zhí)行。想用惡意軟件感染PC嗎?這將是一個(gè)很好的方式。它還允許用戶(hù)帳戶(hù)通過(guò)訪問(wèn)令牌被盜,這意味著密碼不是必需的。
Origin用戶(hù)將很高興聽(tīng)到EA在星期一修復(fù)了安全漏洞,并且僅限于Windows版本的客戶(hù)端。對(duì)于使用Origin的Mac用戶(hù)來(lái)說(shuō),這會(huì)有所緩解,但大部分帳戶(hù)必須基于Windows。