2019 年 3 月セキュリティアップデートのアドバイザリー (CVE-2019-9197)
脆弱性の詳細
CVE ID:CVE-2019-9197
タイプ:リモートでコードが実行される
発見日:2022/10/032018/11/15
発見者:9sgセキュリティチームのrgod - rgod@9sgsec.com、トレンドマイクロのゼロデイイニシアチブと連携
パッチの提供開始日:2023/1/302019/03/04
影響を受けるオペレーティングシステム:Windows
影響を受けるバージョン:すべて (Windows)
重要度: 高
パッチのバージョン:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win) 、 size=570,279kB、md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
リモートコード実行(RCE)につながる可能性のあるWindowsプラットフォームに影響する入力文字列検証の問題がUnityエディターで確認され、攻撃者がユーザーのコンピューターでリモートでコードを実行できるようになる可能性があります。
修正手順
Unityエディタのバージョンを確認する
Unityプロジェクトを開きます。
Unityのバージョンはメインウィンドウのタイトルに表示されます。
[ファイル]メニューの[ヘルプ]→[Unityについて]を選択します。
Unityのバージョン情報はUnityのバージョン情報ウィンドウに表示されます。
アップデートのインストール
ご使用のUnityエディターのバージョンが、上記の「脆弱性の詳細」セクションの「パッチバージョン」に記載されていない場合は、次の手順でアップデートのインストールを続行できます。
アップデートをインストールするには 、 [ ファイル]メニューの[ヘルプ]→[アップデートの確認]で利用できるUnity Editorアップデートチェッカーを使用できます。
さらに、お使いのバージョンのUnity Editorに対応するパッチをダウンロードしてインストールできます。ダウンロードリンクは、「脆弱性の詳細」セクションの「パッチバージョン」および「参考資料」セクションにあります。
軽減ツール
Unity Editorのバージョンがリストにない場合、または現時点で更新プログラムをインストールできない場合は、軽減ツールガイド[7]を使用できます。
推奨される処置は、修正済みのバージョンのUnity Editorをインストールすることであることに注意してください。
FAQ
入力文字列の検証にリモートコード実行(RCE)につながる問題が確認され、攻撃者がユーザーのコンピュータでコードをリモートで実行できる可能性がある。
いいえ。Unity Editorのみが影響を受けます。
Windows のみMacおよびLinuxプラットフォームは、確認された脆弱性の影響を受けません。
Windowsのすべてのバージョン。
Windowsで動作するUnity Editorの全バージョン。
Unity Editorの最新バージョン5.6と、2019.2 Alphaまでのすべての正式対応バージョンのパッチを公開しました。今後のすべてのバージョンにも、このアップデートは含まれます。
Unityは最新のもの、つまりUnity Editorの最後のアップデートのそれぞれに1つのパッチをリリースする予定です。
軽減ツールガイド[7]からダウンロードできるUnity Editorの特定された脆弱性機能を無効にする軽減ツールを提供している。
緩和策はパッチではなく、制限があることを考慮してください。脆弱性があると特定されたUnityエディター機能は無効になりますが、緩和を適用した後のある時点で影響を受ける機能が再度有効になるかどうかは制御できないため、完全なパッチのメリットを得るためには、修正済みのバージョンのUnityエディターへのアップデートを強く推奨します。また、軽減措置の適用後は、Webブラウザ版のアセットストアで「Unityで開く」機能が使用できなくなります。
軽減ツールは、影響を受けるすべてのバージョンのUnity Editorで使用できます。
緩和策はパッチではなく、制限があることを考慮してください。脆弱性があると特定されたUnityエディター機能は無効になりますが、緩和を適用した後のある時点で影響を受ける機能が再度有効になるかどうかは制御できないため、完全なパッチのメリットを得るためには、修正済みのバージョンのUnityエディターへのアップデートを強く推奨します。また、軽減措置の適用後は、Webブラウザ版のアセットストアで「Unityで開く」機能が使用できなくなります。
いいえ。脆弱性が確認されたコンポーネントをすべて無効にしてから実行することで、バージョンを再インストールまたはアップデート(1つ)することにより、コンポーネントが再びアクティブになる場合があることに注意してください。確認するには、すべてのバージョンが最新になるまで回避策ツールを再実行してください。
脆弱性があると特定されたUnityエディター機能は無効になりますが、緩和を適用した後のある時点で影響を受ける機能が再度有効になるかどうかは制御できないため、完全なパッチのメリットを得るためには、修正済みのバージョンのUnityエディターへのアップデートを強く推奨します。また、軽減措置の適用後は、Webブラウザ版のアセットストアで「Unityで開く」機能が使用できなくなります。
現時点では、5.6の確認された脆弱性と、2019.2 Alphaまでのすべての正式サポートされているバージョンへの対応に焦点を当てています。現時点では、他のバージョンのパッチについて共有する詳細はありません。
使用しているUnity Editorのバージョンによって異なります。ほとんどのお客様は、バンドルを再構築しなくてもパッチが適用されたバージョンにアップデートできますが、一部のお客様は、現在使用しているバージョンと、そのドットリリースのパッチの間でアセットインポーターがアップデートされていることに気付く場合があります。そのようなお客様には、資産バンドルの再構築が必要になる場合があります。
パッチが適用されたバージョンのUnityエディターでプロジェクトを初めて開いたときにアセットが再インポートされた場合、バンドルの再構築が必要になることがあります。