Sicherheitsupdatehinweis vom März 2019 (CVE-2019-9197)

Details zur Sicherheitslücke

CVE-ID: CVE-2019-9197

Typ Remotecodeausführung

Entdeckt: 03.10.2022 - 2018/11/15 USD

Entdeckt von: rgod vom 9sg Security Team - rgod@9sgsec.com in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Patch-Verfügbarkeit: 30.01.2023 - 2019/03/04 USD

Betroffenes Betriebssystem: Windows

Betroffene Versionen: Alle (Windows)

Schwere: Hoch

Patch-Versionen:

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Im Unity-Editor wurde ein Problem mit der Validierung von Eingabezeichenfolgen festgestellt, das die Windows-Plattform betrifft und zu Remote Code Execution (RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Schritte zur Behebung

Bestimmen Sie die Version Ihres Unity Editors

Öffnen Sie ein Unity-Projekt.

Die Unity-Version ist im Titel des Hauptfensters sichtbar.

Unity Version in Window 2

Wählen Sie im Menü Datei die Option Hilfe -> Über Unity.

About Unity Dropdown

Die Unity-Version wird im Fenster „Info zu Unity“ angezeigt.

About Unity in Editor

Installiere Update

Wenn Ihre Version des Unity Editors nicht zu den im Abschnitt „Patch-Versionen im Abschnitt „Details zu Sicherheitslücken“ oben aufgeführten Versionen gehört, können Sie wie folgt mit der Installation des Updates fortfahren.

Um das Update zu installieren, können Sie den Update-Checker des Unity Editors verwenden, der im Menü Datei > Hilfe > Nach Updates suchenverfügbar ist.

Unity Check for Updates

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links sind in den Patch-Versionen des Abschnitts „ Details zu Sicherheitslücken“ und im Abschnitt „Referenzen“ verfügbar.

Risikominderungstool

Wenn Ihre Version des Unity Editors nicht aufgeführt ist oder Sie das Update derzeit nicht installieren können, können Sie den Mitigation Tool Guide [7]verwenden.

Bitte beachten Sie, dass die empfohlene Aktion darin besteht, eine korrigierte Version des Unity Editors zu installieren.

FAQ

Es wurde ein Problem bei der Validierung der Eingabezeichenfolge festgestellt, das zu Remote Code Execution (RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Nein. Nur der Unity Editor ist betroffen.

Nur Windows. Mac- und Linux-Plattformen sind von der identifizierten Sicherheitslücke nicht betroffen.

Alle Windows-Versionen.

Alle Versionen des Unity Editors laufen unter Windows.

Wir haben einen Patch für die neuesten Unity Editor-Versionen 5.6 und alle offiziell unterstützten Versionen bis 2019.2 Alpha veröffentlicht. Alle zukünftigen Versionen werden das Update ebenfalls enthalten.

Unity wird für jedes der aktuellsten bzw. letzten Updates des Unity-Editors einen einzelnen Patch veröffentlichen.

Wir stellen ein Mitigationstool zur Verfügung, das die identifizierte anfällige Funktion des Unity Editors deaktiviert und aus demMitigation Tool Guide [7]heruntergeladen werden kann.

Bitte beachten Sie, dass es sich bei der Risikominderung nicht um einen Patch handelt und dass sie Einschränkungen unterliegt. Durch die Schadensbegrenzung wird die als anfällig identifizierte Funktion des Unity-Editors deaktiviert. Da wir jedoch nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach der Anwendung der Schadensbegrenzung wieder aktiviert wird, empfehlen wir dringend, auf eine korrigierte Version des Unity-Editors zu aktualisieren, um die Vorteile des vollständigen Patches zu nutzen. Nach dem Anwenden der Risikominderung können Sie die Funktion „In Unity öffnen“ in der Webbrowserversion des Asset Store auch nicht mehr verwenden.

Das Mitigationstool kann auf allen betroffenen Versionen des Unity Editors verwendet werden.

Bitte beachten Sie, dass es sich bei der Risikominderung nicht um einen Patch handelt und dass sie Einschränkungen unterliegt. Durch die Schadensbegrenzung wird die als anfällig identifizierte Funktion des Unity-Editors deaktiviert. Da wir jedoch nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach der Anwendung der Schadensbegrenzung wieder aktiviert wird, empfehlen wir dringend, auf eine korrigierte Version des Unity-Editors zu aktualisieren, um die Vorteile des vollständigen Patches zu nutzen. Nach dem Anwenden der Risikominderung können Sie die Funktion „In Unity öffnen“ in der Webbrowserversion des Asset Store auch nicht mehr verwenden.

Nein, durch einmaliges Ausführen wird die identifizierte anfällige Komponente auf allen deaktiviert. Beachten Sie, dass durch eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente möglicherweise erneut aktiviert wird. Zur Überprüfung führen Sie das Workaround-Tool erneut aus, bis alle Versionen auf dem neuesten Stand sind.

Durch die Schadensbegrenzung wird die als anfällig identifizierte Funktion des Unity-Editors deaktiviert. Da wir jedoch nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach der Anwendung der Schadensbegrenzung wieder aktiviert wird, empfehlen wir dringend, auf eine korrigierte Version des Unity-Editors zu aktualisieren, um die Vorteile des vollständigen Patches zu nutzen. Nach dem Anwenden der Risikominderung können Sie die Funktion „In Unity öffnen“ in der Webbrowserversion des Asset Store auch nicht mehr verwenden.

Unser Fokus liegt derzeit auf der Behebung der identifizierten Sicherheitslücke in 5.6 und allen offiziell unterstützten Versionen bis 2019.2 Alpha. Wir können derzeit keine Details zu Patches für andere Versionen bekannt geben.

Dies hängt von der spezifischen Version des Unity-Editors ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Pakete neu erstellen zu müssen. Bei manchen Kunden kann es jedoch vorkommen, dass die Asset-Importeure zwischen der Version, die sie aktuell verwenden, und dem Patch für diese Dot-Release aktualisiert wurden. Für diese Kunden kann eine Neustrukturierung ihres Vermögensbündels erforderlich sein.

Möglicherweise müssen Sie Ihre Pakete neu erstellen, wenn beim ersten Öffnen Ihres Projekts in der gepatchten Version des Unity-Editors Assets erneut importiert werden.

Verweise