Aviso de actualización de seguridad de agosto de 2017 (CVE-2017-12939)
Detalles de la vulnerabilidad
CVE ID: CVE-2017-12939
Tipo Ejecución remota de código
Fecha de descubrimiento: 3/10/2022 -USD 2017/08/13
Fecha de descubrimiento: Rio
Disponibilidad del parche: 30/1/2023 -USD 2017/08/18
Sistema operativo afectado: Windows
Versiones afectadas: Todo (Windows)
Gravedad: Alto
Versiones de parche:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
TEN EN CUENTA LO SIGUIENTE: La versión para Mac se proporciona como cortesía para entornos de equipo que usan Windows y Mac. La versión para Mac NO se ve afectada por la vulnerabilidad identificada.
Si un parche no está disponible para su versión, utilice la herramienta de mitigación [7] (Todas las versiones).
Se identificó un problema de validación de cadena de entrada en el Editor de Unity que afectaba a la plataforma Windows y que podría conducir a la Ejecución Remota de Código (RCE), lo que permitiría a un atacante ejecutar código de forma remota en el equipo del usuario.
Pasos de corrección
Determine la versión de su editor de Unity
Abre un proyecto Unity.
La versión de Unity es visible en el título de la ventana principal.
En el menú Archivo seleccione Ayuda -> Acerca de Unity.
La versión de Unity se muestra en la ventana Acerca de Unity.
Instalar actualización
Si su versión del Editor de Unity no es una de las enumeradas en las Versiones de parche de la sección Detalles de vulnerabilidades anterior, puede continuar con la instalación de la actualización de la siguiente manera.
Para instalar la actualización puede utilizar el comprobador de actualizaciones de Unity Editor disponible en el menú Archivo Ayuda -> Buscar actualizaciones.
Además, puede descargar e instalar el parche correspondiente para su versión del Editor de Unity. Los enlaces de descarga están disponibles en las versiones de parche de la sección Detalles de vulnerabilidades y en la sección Referencias.
Herramienta de mitigación
Si su versión del Editor de Unity no aparece en la lista o no puede instalar la actualización en este momento, puede utilizar la Guía de herramientas.
Tenga en cuenta que la acción recomendada es instalar una versión fija del Editor de Unity.
Preguntas frecuentes
Se identificó un problema de validación de cadena de entrada que podría conducir a la ejecución remota de código (RCE), permitiendo a un atacante ejecutar código de forma remota en el equipo del usuario.
No, solo el Editor de Unity está afectado.
Solo ventanas. Las plataformas Mac y Linux no se ven afectadas por la vulnerabilidad identificada.
Todas las versiones de Windows.
Todas las versiones del Editor de Unity que se ejecutan en Windows.
Hemos lanzado un parche para las siguientes versiones de Unity: 5.3, 5.4, 5.5, 5.6 y 2017.1. Los detalles completos se encuentran en esta página.
No vamos a parchear Unity 4.x, 5.0, 5.1 o 5.2.
Unity lanzará un solo parche para cada uno de los lanzamientos de puntos más actuales de Unity. Por ejemplo, los usuarios que ejecuten una versión anterior de Unity 5.3 tendrán que actualizar a la versión parcheada de 5.3.8. No habrá parches para 5.3.7, 5.3.6, etc.
Estamos proporcionando una herramienta de solución alternativa que deshabilita la característica vulnerable identificada de Unity Editor, que se puede descargar desde la Guía de herramientas de mitigación [7]. Sin embargo, comprenda que la solución no es un parche y tiene limitaciones. La solución alternativa desactivará la función Unity Editor identificada como vulnerable, pero como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos encarecidamente actualizar a la última versión de Unity para obtener los beneficios del parche completo. Tampoco podrá utilizar la funcionalidad “Abrir en Unity” en la versión del navegador web de Asset Store después de aplicar la solución alternativa.
Las actualizaciones están disponibles aquí, en la sección Versiones de parche.
La herramienta de solución alternativa se puede utilizar en todas las versiones afectadas de Unity. Tenga en cuenta, sin embargo, que la solución alternativa no es un parche y tiene limitaciones: la solución alternativa desactivará las características vulnerables identificadas del Editor, pero como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos encarecidamente actualizar a una versión parcheada. Tampoco podrá utilizar la funcionalidad “Abrir en Unity” en la versión del navegador web de Asset Store después de aplicar la solución alternativa.
No, ejecutándolo una vez que desactive el componente vulnerable identificado en todos ellos. Tenga en cuenta que al reinstalar o actualizar (una) de las versiones, puede activar el componente de nuevo. Para comprobarlo, vuelva a ejecutar la herramienta hasta que todas las versiones estén actualizadas.
La solución alternativa desactivará la función Unity Editor identificada como vulnerable, pero como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la solución alternativa (cambios en el sistema, reinstalaciones, etc.), recomendamos encarecidamente actualizar a una versión parcheada. Tampoco podrá utilizar la funcionalidad “Abrir en Unity” en la versión del navegador web de Asset Store después de aplicar la solución alternativa.
Las actualizaciones están disponibles aquí, en la sección Versiones de parche.
Nuestro enfoque en este momento es abordar la vulnerabilidad identificada en la versión más actual de cada lanzamiento de puntos. No tenemos detalles que compartir en parches para otras versiones en este momento.
Depende de la versión específica de Unity que esté utilizando. La mayoría de los clientes podrán actualizar a las versiones parcheadas sin necesidad de reconstruir sus paquetes, pero algunos clientes pueden encontrar que los importadores de activos se han actualizado entre la versión que están usando actualmente y el parche para esa liberación de puntos. Para esos clientes, puede ser necesaria la reconstrucción del paquete de activos.
Definitivamente no necesitarás reconstruir paquetes si actualmente estás usando 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 o 2017.1.0p3.
Es posible que necesite reconstruir sus paquetes si se vuelve a importar algún activo cuando abra su proyecto por primera vez en la versión parcheada de Unity.