What type of vulnerabilities were addressed in this update?

Two out-of-bounds memory issues were identified that could lead to Denial Of Service (DoS), allowing an attacker to crash the Unity process, and potentially the game or application.

Do these vulnerabilities affect built games/applications in any way?

Yes. Games and applications built with the Unity Editor using the Unity Multiplayer and Networking UNET feature are affected.

What Unity features are affected?

Only Unity UNET is affected by the identified vulnerabilities.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

What platforms are affected?

All supported platforms are affected.

What platform versions are affected?

All platform versions are affected.

What versions of Unity are affected?

All versions of the Unity Editor are affected.

What versions of the Unity Editor are being patched?

We have released a patch for all officially supported versions of the Unity Editor up to 2020.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current versions, i.e., last update of the Unity Editor.

What about versions 5.6 and older?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Note de mise à jour de sécurité de mai 2020 (CVE-2020-12630, CVE-2020-12631)

Détails de la faille

Identifiant CVE : CVE-2020-12630, CVE-2020-12631

Type : Déni de service

Découverte : 31/01/2020

Découverte par : Jack Baker

Disponibilité des correctifs : 19/05/2020

Système d'exploitation concerné : Toutes les plateformes compatibles

Versions concernées : Toutes

Gravité : Haute

Versions des correctifs :

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

Deux problèmes de mémoire hors limites ont été identifiés dans les fonctionnalités Unity Multiplayer et Networking UNET et affectent les jeux et les applications compilés avec l'éditeur Unity à l'aide de UNET. Ces problèmes pourraient conduire à un déni de service (DoS), permettant à un cybercriminel de faire crasher le processus Unity et potentiellement le jeu ou l'application.

Étapes de correction

Déterminez la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Éditeur Unity affichant la version d'Unity

Installez la mise à jour

Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails de la faille ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -&gt ; Check for Updates.

Rechercher les mises à jour dans l'éditeur Unity

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails de la faille et dans la section References.

Créez et déployez

Une fois l'éditeur Unity mis à jour, vous pouvez continuer à créer une nouvelle compilation de votre jeu ou de votre application et déployer la nouvelle version corrigée.

FAQ

Quels types de failles ont été corrigés dans cette mise à jour ?

Deux problèmes de mémoire hors limites ont été identifiés et pourraient conduire à un déni de service (DoS), permettant à un cybercriminel de faire crasher le processus Unity et potentiellement le jeu ou l'application.

Ces failles affectent-elles les jeux/applications construits de quelque manière que ce soit ?

Oui. Les jeux et applications créés avec l'éditeur Unity à l'aide des fonctionnalités Unity Multiplayer et de Networking UNET sont affectés.

Quelles fonctionnalités Unity sont affectées ?

Seule la fonctionnalité UNET est affectée par les failles identifiées.

Faudra-t-il recompiler l'ensemble de mes ressources suite à la demande de mise à jour ?

Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.

Quelles plateformes sont concernées ?

Toutes les plateformes compatibles sont concernées.

Quelles sont les versions de plateforme concernées ?

Toutes les versions de plateforme sont concernées.

Quelles sont les versions concernées de Unity ?

Toutes les versions de l'éditeur Unity sont concernées.

Quelles sont les versions corrigées de l'éditeur Unity ?

Nous avons publié un correctif pour toutes les versions officiellement compatibles de l'éditeur Unity jusqu'à la version Alpha 2020.2. La mise à jour sera intégrée à toutes les versions futures.

Ma version spécifique sera-t-elle corrigée ?

Unity publiera un seul correctif pour chacune des versions les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.

Qu'en est-il des versions 5.6 et antérieures ?

Nous nous concentrons actuellement sur la correction des failles identifiées dans toutes les versions officiellement compatibles jusqu'à la version Alpha 2020.2. Nous ne prévoyons pas de publier un correctif pour d'autres versions de Unity.

J'ai une ancienne version verrouillée de Unity 5.x.x. Allez-vous fournir un patch pour cette version précise de Unity que j'utilise ?

Nous nous concentrons actuellement sur la correction des failles identifiées dans toutes les versions officiellement compatibles jusqu'à la version Alpha 2020.2. Nous ne prévoyons pas de publier un correctif pour d'autres versions de Unity

Comment savoir si je dois recompiler les ensembles de mes ressources ?

Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de l'éditeur Unity.

Références

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9