EA游戏出版商修补含端程攻击漏洞之程序

游戏出版商Electronic Arts(EA)在本周修补了安装于Windows计算机上的Origin客户端程序,原因为该程序含有允许远程程序攻击的安全漏洞。此一漏洞是由Underdog Security的两名安全研究人员Daley Bee与Dominik Penner所揭露。Origin为EA使用者用来购买、下载及存取游戏的客户端程序,根据TechCrunch的描述,为了让玩家更容易自网络上存取个别的游戏,Origin采用自己的URL手法,只要点击以origin://开头的网址,就能启用程序并加载游戏。

至于研究人员则发现,他们能够在origin://网址的title参数中,执行客户端模板注射(template injection),以绕过AngularJS沙盒,进而在用户的计算机上执行任意程序。Bee及Penner设计了一个概念性验证攻击程序,藉由点选一个恶意连结,便可启用Origin且同时跳出Windows内建的小算盘。该漏洞亦允许黑客窃取使用者的帐户认证,或是传送恶意的PowerShell命令,最糟的状况可能导致系统被掌控。此一漏洞只影响Windows版的Origin用户,并未波及Mac版Origin用户,EA则已释出更新程序。更多安全相关内容来源:sbf胜博网址 http://tpmanager.org.tw/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值