Mise à jour de sécurité de mars 2019 d'Unity

Avis de mise à jour de sécurité de mars 2019 (CVE-2019-9197)

Détails de la faille

IDENTIFIANT CVE : CVE-2019-9197

Taper: Exécution de code à distance

Découverte : 03/10/2022 - 2018/11/15 USD

Découvert par : rgod de l'équipe de sécurité 9sg - rgod@9sgsec.com travaillant avec l'initiative Zero Day de Trend Micro

Disponibilité des correctifs : 30/01/2023 - 2019/03/04 USD

Système d'exploitation concerné : Windows

Versions concernées : Tout (Windows)

Gravité: Haut

Versions des correctifs :

[1] 2019.2.0a7 (Win), taille = 795 664 octets, md5 = 6fcde1045cc4af7f84ba4f820f5db868
[2] 2019.1.0b5 (Win), taille = 696 212 Ko, md5 : d2ec9e0dc974adfd0e465ffe2e3f1c23
[3] 2018.3.7f1 (Win), taille = 570 279 Ko, md5 = 6fcde1045cc4af7f84ba4f820f5db868
[4] 2018.2.21f1 (Win), taille = 580 009 Ko, md5 = 1b87b98c936c81148a99c879386e676c
[5] 2017.4.22f1 (Win), taille = 527 486 Ko, md5 = 8cb0783f22dc5bfc80d2f170472aefbf
[6] 5.6.7f1 (Win), taille = 554 855 Ko, md5 = d761d8c151007ce2474ddc9d468abc02

Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity affectant la plate-forme Windows et pouvant conduire à l'exécution de code à distance (RCE), permettant à un attaquant d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Étapes de correction

Déterminez la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Dans le menu Fichier, choisissez Aide -> À propos d'Unity.

La version d'Unity est affichée dans la fenêtre À propos d'Unity .

Installer la mise à jour

Si votre version de l'éditeur Unity ne fait pas partie de celles répertoriées dans la section Versions des correctifs de la section Détails des vulnérabilités ci-dessus, vous pouvez poursuivre l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de Unity Editor disponible dans le menu Fichier Help -> Check for Updates.

De plus, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des vulnérabilités et dans la section Références .

Outil d'atténuation

Si votre version de l'éditeur Unity n'est pas répertoriée ou si vous ne parvenez pas à installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation [7].

Veuillez garder à l'esprit que l'action recommandée consiste à installer une version corrigée de l'éditeur Unity.

FAQ

Quels types de failles ont été corrigés dans cette mise à jour ?

Cette vulnérabilité affecte-t-elle les jeux/applications construits d'une manière ou d'une autre ?

Quelles sont les plateformes concernées ?

Quelles versions de Windows sont concernées ?

Quelles versions d’Unity sont concernées ?

Quelles versions de l'éditeur Unity sont mises à jour ?

Ma version spécifique sera-t-elle corrigée ?

Qu’en est-il des versions antérieures à 5.6 ?

L'outil d'atténuation fonctionne-t-il pour les versions plus récentes que la 5.6 ? Puis-je utiliser l’outil d’atténuation au lieu d’appliquer des correctifs ?

J'utilise plusieurs versions d'Unity, dois-je appliquer l'outil d'atténuation pour chacune d'elles ?

Puis-je simplement utiliser l’outil d’atténuation et ne jamais passer à une version corrigée ?

J'ai une ancienne version verrouillée d'Unity 5.xx Produisez-vous un correctif pour la version exacte d’Unity que j’utilise ?

Dois-je reconstruire les groupes d’actifs en raison de l’exigence de mise à jour ?

Comment savoir si je devrai reconstruire mes groupes d'actifs ?

Références

[1] 2019.2.0a7 (Gagner)
[2] 2019.1.0b5 (Gagner)
[3] 2018.3.7f1 (Gagner)
[4] 2018.2.21f1 (Gagner)
[5] 2017.4.22f1 (Gagner)
[6] 5.6.7f1 (Gagner)
[7] Guide des outils d'atténuation
[8] Outil d'atténuation