Detalles de la vulnerabilidad
CVE ID: CVE-2017-12939
Tipo: ejecución remota de código
Fecha de descubrimiento: 13/08/2017
Descubierto por: Rio
Disponibilidad de parche: 18/08/2017
Sistema operativo afectado: Windows
Versiones afectadas: todas (Windows)
Gravedad: alta
Versiones de parche:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Ten en cuenta que la versión para Mac se proporciona como cortesía para entornos de equipos que utilizan Windows y Mac. La versión para Mac NO se ve afectada por la vulnerabilidad identificada.
Si no hay un parche disponible para tu versión, utiliza la herramienta de mitigación [7] (todas las versiones).
Se identificó un problema de validación de la cadena de entrada en Unity Editor que afecta a la plataforma de Windows y que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.
Pasos de corrección
Determina la versión que usas de Unity Editor
Abre un proyecto de Unity.
La versión de Unity se encuentra en el título de la ventana principal.
En el menú File (Archivo), elige Help -> About Unity (Ayuda; Acerca de Unity).
La versión de Unity se muestra en la ventana About Unity (Acerca de Unity).
Instala la actualización
Si tu versión de Unity Editor no está en la lista de versiones de parche de la sección anterior Detalles de la vulnerabilidad, puedes continuar con la instalación de la actualización de la siguiente manera.
Para instalar la actualización, puedes usar el verificador de actualizaciones de Unity Editor que está disponible en el menú File (Archivo) Help -> Check for Updates (Ayuda; Buscar actualizaciones).
Además, puedes descargar e instalar el parche correspondiente para tu versión de Unity Editor. Los enlaces de descarga están disponibles en Patch Versions (Versiones de parches) de la sección Detalles de la vulnerabilidad y en la sección Referencias.
Herramienta de mitigación
Si tu versión de Unity Editor no aparece en la lista o si no puedes instalar la actualización en este momento, puedes usar la guía de herramientas de mitigación [7].
Ten en cuenta que la acción recomendada es instalar una versión no editable de Unity Editor.
Preguntas frecuentes
Se identificó un problema de validación de la cadena de entrada que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.
No. Solo Unity Editor se ve afectado.
Solo Windows. Las plataformas de Mac y Linux no se ven afectadas por la vulnerabilidad identificada.
Todas las versiones de Windows.
Todas las versiones de Unity Editor que se ejecutan en Windows.
Hemos lanzado un parche para las siguientes versiones de Unity: 5.3, 5.4, 5.5, 5.6 y 2017.1. Los detalles completos se enumeran en esta página.
No aplicaremos parches a Unity 4.x, 5.0, 5.1 o 5.2.
Unity lanzará un único parche para cada uno de los lanzamientos X más recientes de Unity. Por ejemplo, los usuarios que ejecutan una versión anterior de Unity 5.3 deberán actualizar a la versión con parche de 5.3.8. No habrá parches para 5.3.7, 5.3.6, etc.
Ofrecemos una herramienta de solución alternativa que desactiva la característica vulnerable identificada de Unity Editor que se puede descargar desde la guía de herramientas de mitigación [7]. Sin embargo, ten en cuenta que la solución alternativa no es un parche y tiene limitaciones. La solución alternativa desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos actualizar a la versión más reciente de Unity para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la solución alternativa.
Las actualizaciones están disponibles aquí, en la sección Patch Versions (Versiones de parche).
La herramienta de solución alternativa se puede utilizar en todas las versiones afectadas de Unity Editor. Ten en cuenta que la solución alternativa no es un parche y tiene limitaciones. La solución alternativa desactivará las funciones de Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos actualizar a la versión más reciente del parche. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la solución alternativa.
No. Al ejecutarla una vez, desactiva el componente vulnerable identificado en todas las versiones. Ten en cuenta que al reinstalar o actualizar (una) de las versiones, esto puede activar el componente nuevamente. Para comprobarlo, vuelve a ejecutar la herramienta de solución alternativa hasta que todas las versiones estén actualizadas.
La solución alternativa desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos actualizar a la versión más reciente del parche. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la solución alternativa.
Las actualizaciones están disponibles aquí, en la sección Patch Versions (Versiones de parche).
En este momento, nos enfocamos en abordar la vulnerabilidad identificada en la versión más actual de cada lanzamiento X. No tenemos ningún detalle para compartir sobre los parches para otras versiones en este momento.
Depende de la versión específica de Unity que utilices. La mayoría de los clientes podrán actualizar a las versiones corregidas sin necesidad de volver a crear sus conjuntos, pero es posible que algunos clientes observen que los importadores de assets se han actualizado entre la versión que están usando actualmente y el parche para esa versión X. Es posible que esos clientes tengan que volver a crear los conjuntos de assets.
Definitivamente no necesitarás volver a crear conjuntos si actualmente estás usando 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 o 2017.1.0p3.
Es posible que tengas que volver a crear tus conjuntos si algún asset se vuelve a importar cuando abras tu proyecto por primera vez en la versión corregida de Unity.