Aviso de actualización de seguridad de marzo de 2019 (CVE-2019-9197)

Detalles de la vulnerabilidad

CVE ID: CVE-2019-9197

Tipo Ejecución remota de código

Fecha de descubrimiento: 3/10/2022 -USD 2018/11/15

Descubierto por: rgod de 9sg Security Team - rgod@9sgsec.com trabajando con Trend Micro's Zero Day Initiative

Disponibilidad del parche: 30/1/2023 -USD 2019/03/04

Sistema operativo afectado: Windows

Versiones afectadas: Todos (Windows)

Gravedad: Alta

Versiones de parche:

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5(Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1(Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1(Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1(Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Se identificó un problema de validación de cadenas de entrada en el Editor de Unity que afecta a la plataforma Windows que podría conducir a la Ejecución Remota de Código (RCE), permitiendo a un atacante ejecutar potencialmente código de forma remota en el ordenador del usuario.

Pasos de corrección

Determine la versión de su editor Unity

Abra un proyecto Unity.

La versión de Unity es visible en el título de la ventana principal.

Unity Version in Window 2

En el menú Archivo elija Ayuda -> Acerca de Unity.

About Unity Dropdown

La versión de Unity se muestra en la ventana Acerca de Unity.

About Unity in Editor

Instalar actualización

Si su versión del Editor de Unity no es una de las que aparecen en la lista de Versiones de Parche de la sección Detalles de Vulnerabilidades anterior, puede continuar con la instalación de la actualización de la siguiente manera.

Para instalar la actualización puede utilizar el comprobador de actualizaciones del Editor de Unity disponible en el menú Archivo Ayuda -> Buscar actualizaciones.

Unity Check for Updates

Además, puede descargar e instalar el parche correspondiente para su versión del editor Unity. Los enlaces de descarga están disponibles en la sección Versiones del parche de la sección Detalles de las vulnerabilidades y en la sección Referencias.

Herramienta de mitigación

Si su versión del Editor de Unity no aparece en la lista, o no puede instalar la actualización en este momento, puede utilizar la Guía de herramientas de mitigación [7].

Tenga en cuenta que la acción recomendada es instalar una versión fija del Editor de Unity.

Preguntas frecuentes

Se identificó un problema de validación de cadenas de entrada que podría conducir a la ejecución remota de código (RCE), permitiendo a un atacante ejecutar potencialmente código de forma remota en el ordenador del usuario.

No. Sólo afecta al editor de Unity.

Sólo para Windows. Las plataformas Mac y Linux no están afectadas por la vulnerabilidad identificada.

Todas las versiones de Windows.

Todas las versiones del editor Unity que funcionan en Windows.

Hemos lanzado un parche para las últimas versiones del Editor de Unity de 5.6 y todas las versiones soportadas oficialmente hasta 2019.2 Alpha. Todas las versiones futuras incluirán la actualización.

Unity publicará un único parche para cada una de las actualizaciones más recientes, es decir, la última actualización del Editor de Unity.

Estamos proporcionando una herramienta de mitigación que desactiva la característica vulnerable identificada del Editor de Unity, que puede descargarse de la Guía de herramientas de mitigación [7].

Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará la función del Editor de Unity identificada como vulnerable, pero dado que no podemos controlar si la funcionalidad afectada se vuelve a activar en algún momento después de aplicar la mitigación, recomendamos encarecidamente actualizar a una versión corregida del Editor de Unity para obtener los beneficios del parche completo. Tampoco podrás utilizar la función "Abrir en Unity" en la versión de navegador web de la Asset Store después de aplicar la mitigación.

La herramienta de mitigación puede utilizarse en todas las versiones afectadas del editor de Unity.

Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará la función del Editor de Unity identificada como vulnerable, pero dado que no podemos controlar si la funcionalidad afectada se vuelve a activar en algún momento después de aplicar la mitigación, recomendamos encarecidamente actualizar a una versión corregida del Editor de Unity para obtener los beneficios del parche completo. Tampoco podrás utilizar la función "Abrir en Unity" en la versión de navegador web de la Asset Store después de aplicar la mitigación.

No, ejecutándolo una vez desactiva el componente vulnerable identificado en todos ellos. Tenga en cuenta que al reinstalar o actualizar (una) de las versiones, es posible que se active de nuevo el componente. Para comprobarlo, vuelva a ejecutar la herramienta de solución hasta que todas las versiones estén actualizadas.

La mitigación desactivará la función del Editor de Unity identificada como vulnerable, pero dado que no podemos controlar si la funcionalidad afectada se vuelve a activar en algún momento después de aplicar la mitigación, recomendamos encarecidamente actualizar a una versión corregida del Editor de Unity para obtener los beneficios del parche completo. Tampoco podrás utilizar la función "Abrir en Unity" en la versión de navegador web de la Asset Store después de aplicar la mitigación.

En estos momentos nos centramos en solucionar la vulnerabilidad identificada en la versión 5.6 y en todas las versiones soportadas oficialmente hasta la versión 2019.2 Alpha. Por el momento no disponemos de detalles sobre los parches para otras versiones.

Depende de la versión específica del Editor de Unity que esté utilizando. La mayoría de los clientes podrán actualizar a las versiones parcheadas sin necesidad de reconstruir sus paquetes, pero es posible que algunos clientes descubran que los importadores de activos se han actualizado entre la versión que utilizan actualmente y el parche para ese dot-release. Para esos clientes, puede ser necesario reconstruir el conjunto de activos.

Es posible que tenga que reconstruir sus bundles si se reimportan algunos assets cuando abra por primera vez su proyecto en la versión parcheada del Editor de Unity.

Referencias