В Origin исправили уязвимость, позволявшую получать контроль над PC

Уязвимость не работала только в клиенте для MacOS.

Сотрудники Electronic Arts устранили критическую уязвимость в клиенте магазина Origin, позволявшую хакерам запускать на компьютере жертвы любые приложения и исполнять произвольные скрипты. С помощью уязвимости хакеры могли загрузить на удаленный PC собственные приложения или похитить токен доступа к учетной записи Origin.

Уязвимость заключалась в собственной URL-схеме магазина, origin://. Она предназначена для открытия страниц игр в приложении магазина, однако исследователи безопасности из Underdog Security обнаружили, что специально сконструированная ссылка позволяет запускать произвольные программы от имени активного пользователя.

Ссылку можно было разместить на сайте или отправить потенциальной жертве по электронной почте. П о словам исследователей, с помощью XSS переход по вредоносной ссылке можно было вызвать автоматически, без действий со стороны пользователя.

Патч, исправляющий уязвимость, был выпущен 15 апреля. Представители Electronic Arts подтвердили TechCrunch факт обнаружения уязвимости и ее устранение, но не рассказали, использовалась ли она реальными хакерами. В клиенте Origin для MacOS уязвимость не работала.