游戏出版商Electronic Arts(EA)在本周修补了安装于Windows计算机上的Origin客户端程序,原因为该程序含有允许远程程序攻击的安全漏洞。此一漏洞是由Underdog Security的两名安全研究人员Daley Bee与Dominik Penner所揭露。Origin为EA使用者用来购买、下载及存取游戏的客户端程序,根据TechCrunch的描述,为了让玩家更容易自网络上存取个别的游戏,Origin采用自己的URL手法,只要点击以origin://开头的网址,就能启用程序并加载游戏。
至于研究人员则发现,他们能够在origin://网址的title参数中,执行客户端模板注射(template injection),以绕过AngularJS沙盒,进而在用户的计算机上执行任意程序。Bee及Penner设计了一个概念性验证攻击程序,藉由点选一个恶意连结,便可启用Origin且同时跳出Windows内建的小算盘。该漏洞亦允许黑客窃取使用者的帐户认证,或是传送恶意的PowerShell命令,最糟的状况可能导致系统被掌控。此一漏洞只影响Windows版的Origin用户,并未波及Mac版Origin用户,EA则已释出更新程序。更多安全相关内容来源:sbf胜博网址 http://tpmanager.org.tw/