Adeptes de jeux vidéo, et en particuliers utilisateurs du service Origin de l’éditeur Electronic Arts, faites attention où vous cliquez ! Une vulnérabilité dans le processus d’authentification et de lancement des jeux par le client Origin permettrait à un attaquant d’exécuter du code de son choix sur le PC des 40 millions d’utilisateurs du service.

L’attaque est d’une simplicité étonnante : en poussant un utilisateur à cliquer sur une URL piégée dans un site web externe (une liste de serveurs multijoueurs par exemple), le pirate serait en mesure de lancer le client Origin et lui faire télécharger ou exécuter un fichier sur le PC de la victime. La société Revuln, à l’origine de la découverte, a même publié une vidéo de la vulnérabilité en action.

EA ne semble pas avoir commenté l’annonce et aucune mise à jour de client Origin n’a eu lieu pour l’instant. Les utilisateurs peuvent se protéger en désactivant le support pour les URL de type origin://, mais les raccourcis vers les jeux, placés sur le Bureau par exemple, ne fonctionneront plus.

L’alerte (format PDF à télécharger) est disponible en ligne.

Source : Revuln