2017 年 8 月セキュリティアップデートのアドバイザリー(CVE-2017-12939)

脆弱性の詳細

CVE ID: CVE-2017-12939

タイプ: リモートコード実行

発見日: 2017/08/13

発見者: Rio

パッチの提供開始日: 2017/08/18

影響を受けるオペレーティングシステム: Windows

影響を受けるバージョン: すべて(Windows)

重大度: 高い

パッチのバージョン:

  • [1] 5.3.8p2(Win)(Mac
  • [2] 5.4.5p5(Win)(Mac
  • [3] 5.5.4p3(Win)(Mac
  • [4] 5.6.3p1(Win)(Mac
  • [5] 2017.1.0p4(Win)(Mac
  • [6] 2017.2.0b8(Win)(Mac

注意:Mac バージョンは、Windows と Mac を使用しているチーム環境のために提供されているものです。Mac バージョンは、確認された脆弱性の影響を受けません。

お使いのバージョンに対応したパッチが提供されていない場合は、Mitigation Tool [7](すべてのバージョン)を使用してください。

Unity エディターで入力文字列検証の問題が確認されました。これは Windows プラットフォームに影響を与えるもので、リモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。

修正手順

Unity エディターのバージョンを確認する

Unity プロジェクトを開きます。

Unity のバージョンはメインウィンドウのタイトルに表示されます。

Unity のバージョンが表示されている Unity エディター

メニューから「Help -> About Unity」を選択します。

Unity エディターとヘルプドロップダウンメニュー

About Unity」ウィンドウに Unity のバージョンが表示されます。

エディターで開かれた「About Unity」ウィンドウ

アップデートをインストールする

Unity エディターのバージョンが上記の「脆弱性の詳細」セクションの「パッチのバージョン」にリストされているもののいずれかではない場合は、以下の手順でアップデートのインストールを続行できます。

アップデートをインストールするには、メニューから「Help -> Check for Updates」を選択して、Unity エディターのアップデートチェッカーを使用できます。

Unity エディターで最新情報をチェックする

さらに、ご使用のバージョンの Unity エディターに対応するパッチをダウンロードしてインストールできます。ダウンロードリンクは、「脆弱性の詳細」セクションの「パッチのバージョン」と、「参照情報」セクションにあります。

Mitigation Tool

ご使用の Unity エディターのバージョンがリストにない場合、または現時点でアップデートをインストールできない場合は、Mitigation Tool ガイド [7] を使用できます。

推奨されるアクションは、Unity エディターの修正バージョンをインストールすることです。

FAQ

このアップデートは、どのような種類の脆弱性に対処したものですか?

入力文字列検証の問題が確認されました。これはリモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。

この脆弱性は、ビルドされたゲーム/アプリケーションに何らかの影響を及ぼしますか?

いいえ。影響を受けるのは Unity エディターのみです。

どのプラットフォームが影響を受けますか?

Windows のみです。Mac および Linux プラットフォームは、確認された脆弱性の影響を受けません。

Windows のどのバージョンが影響を受けますか?

Windows のすべてのバージョンです。

Unity のどのバージョンが影響を受けますか?

Windows で実行されている Unity エディターのすべてのバージョンです。

Unity エディターのどのバージョンがパッチ適用の対象ですか?

次の Unity バージョン用のパッチをリリースしました:5.3、5.4、5.5、5.6、および 2017.1。詳細はこのページに記載されています。

Unity 4.x、5.0、5.1、5.2 については、パッチを適用する予定はありません。

私の使用しているバージョンにパッチは適用されますか?

Unity では、Unity の最新のドットリリースのそれぞれに対して、単一のパッチをリリースする予定です。たとえば、旧バージョンの Unity 5.3 を実行しているユーザーは、パッチ適用後のバージョンである 5.3.8 に更新する必要があります。5.3.7、5.3.6 などに対してパッチが提供される予定はありません。

バージョン 5.3 以前についてはどうですか?

確認された脆弱な Unity エディター機能を無効にする回避策ツールを提供しています。これは Mitigation Tool ガイド [7] からダウンロードできます。ただし、回避策はパッチではなく、制限実行があることをご理解ください。この回避策は、脆弱であると確認された Unity エディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、Unity の最新バージョンに更新して、完全なパッチが適用された状態にすることを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。

パッチはいつから入手できますか?

アップデートは、このページの「パッチのバージョン」セクションから入手できます。

回避策ツールは 5.3 以降のバージョンで機能しますか?回避策ツールをパッチ適用の代わりに使用することはできますか?

回避策ツールは、影響を受けるすべてのバージョンの Unity で使用できます。ただし、回避策はパッチではなく、制限実行があることをご理解ください。この回避策は、確認された脆弱なエディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、パッチ適用後のバージョンに更新することを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。

Unity の複数のバージョンを実行しているのですが、それらすべてに回避策ツールを適用する必要がありますか?

いいえ、1 回実行すれば、確認された脆弱なコンポーネントがすべてのバージョンで非アクティブ化されます。なお、(いずれかの)バージョンを再インストールまたは更新すると、コンポーネントが再度アクティベートされる可能性があることに注意してください。確認するには、すべてのバージョンが最新になるまで回避策ツールを再実行します。

回避策を使用すれば、パッチ適用後のバージョンに移行しなくても大丈夫ですか?

この回避策は、脆弱であると確認された Unity エディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、パッチ適用後のバージョンに更新することを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。

回避策(またはパッチ)を入手するにはどうすればよいですか?

アップデートは、このページの「パッチのバージョン」セクションから入手できます。

ロックダウンされている Unity 5.x.x の旧バージョンがあります。私が使用している Unity のバージョンに対応するパッチが作成される予定はありますか?

現在の目的は、各ドットリリースの最新バージョンで、確認された脆弱性に対処することです。現時点では、他のバージョン用のパッチに関する詳細情報はありません。

アップデート要件のためにアセットバンドルを再ビルドする必要はありますか?

使用している Unity のバージョンによって異なります。ほとんどのお客様は、バンドルを再ビルドしなくてもパッチ適用後のバージョンに更新できますが、一部のお客様は、現在使用しているバージョンとそのドットリリース用のパッチとの間で、アセットインポーターが更新されていることに気付く場合があります。それらのお客様については、アセットバンドルの再ビルドが必要になる場合があります。

現在、5.3.8p1、5.4.5p4、5.5.4p2、5.6.3f1、または 2017.1.0p3 を使用している場合は、バンドルを再ビルドする必要はありません。

アセットバンドルを再ビルドする必要があるかどうかはどうすればわかりますか?

パッチ適用後のバージョンの Unity でプロジェクトを最初に開くときに再インポートされるアセットがある場合は、バンドルを再ビルドする必要がある場合があります。

参照情報

弊社のウェブサイトは最善のユーザー体験をお届けするためにクッキーを使用しています。詳細については、クッキーポリシーのページをご覧ください。

OK