2019년 3월 보안 업데이트 권고(CVE-2019-9197)

취약점 세부 정보

CVE ID: CVE-2019-9197

유형: 원격 코드 실행

발견 일자: 2018/11/15

발견자: Trend Micro의 Zero Day Initiative와 협업하는 rgod of 9sg 보안 팀 - rgod@9sgsec.com

패치 가능 일자: 2019/03/04

영향을 받는 운영체제: Windows

영향을 받는 버전: 모든 버전(Windows)

심각도: 높음

패치 버전: 

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Unity 에디터에서 발견된 입력 문자열 확인 문제는 Windows 플랫폼에 영향을 미쳐 원격 코드 실행(RCE)으로 이어질 수 있으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.

문제 해결 단계

Unity 에디터 버전 확인

Unity 프로젝트를 엽니다.

Unity 버전은 메인 창 제목에 표시됩니다.

Unity 버전을 보여주는 Unity 에디터

File 메뉴에서 Help > About Unity를 선택합니다.

Unity 에디터와 도움말 드롭다운 메뉴

Unity 버전은 About Unity 창에 표시됩니다.

에디터에 열린 Unity 정보 창

업데이트 설치

사용 중인 Unity 에디터 버전이 위의 취약점 세부 정보 패치 버전 섹션에 나열되지 않은 경우 다음과 같이 업데이트를 설치할 수 있습니다.

업데이트를 설치하려면 File 메뉴의 Help > Check for Updates에서 사용 가능한 Unity 에디터 업데이트를 확인할 수 있습니다.

Unity 에디터에서 업데이트 확인

또한 사용 중인 Unity 에디터 버전에 해당하는 패치를 다운로드하여 설치할 수 있습니다. 다운로드 링크는 취약점 세부 정보패치 버전 섹션과 참조 섹션에서 찾을 수 있습니다.

완화 툴

사용 중인 Unity 에디터 버전이 목록에 없거나, 현재 업데이트를 설치할 수 없는 경우, 완화 툴 가이드[7]를 활용할 수 있습니다.

그러나 수정된 버전의 Unity 에디터를 설치할 것을 권장합니다.

FAQ

이번 업데이트에서 어떤 유형의 취약점을 다루었나요?

원격 코드 실행(RCE)으로 이어질 수 있는 입력 문자열 확인 문제가 발견되었으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.

이러한 취약점이 빌드된 게임/애플리케이션에 영향을 미치나요?

아니요. Unity 에디터만 영향을 받습니다.

어떤 플랫폼이 영향을 받나요?

Windows만 영향을 받습니다. Mac 및 Linux 플랫폼은 발견된 취약점의 영향을 받지 않습니다.

무슨 버전의 Windows가 영향을 받나요?

모든 버전의 Windows가 영향을 받습니다.

어떤 Unity 버전이 영향을 받나요?

Windows에서 실행되는 모든 버전의 Unity 에디터가 영향을 받습니다.

무슨 버전의 Unity 에디터가 패치 중인가요?

Unity 에디터 최신 버전 5.6 및 2019.2 알파 이전의 공식적으로 지원되는 모든 버전에 대해 패치를 릴리스했습니다. 향후 모든 버전에도 해당 업데이트가 포함됩니다.

내가 사용하는 특정 버전도 패치되나요?

유니티는 Unity 에디터의 최신 업데이트, 즉 마지막 업데이트마다 단일 패치를 릴리스할 예정입니다.

5.6 이전 버전은 어떻게 되나요?

유니티는 Unity 에디터에서 발견된 취약 기능을 비활성화하는 완화 툴을 제공하며, 이는 완화 툴 가이드[7]에서 다운로드할 수 있습니다.

완화는 패치가 아니며 한계가 있다는 점을 고려해 주시기 바랍니다. 완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.

5.6 이후 버전에서도 완화 툴이 작동하나요? 패치하는 대신 완화 툴을 사용할 수 있나요?

완화 툴은 영향을 받는 모든 버전의 Unity 에디터에서 사용할 수 있습니다.

완화는 패치가 아니며 한계가 있다는 점을 고려해 주시기 바랍니다. 완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.

여러 버전의 Unity를 운용하는 경우, 모든 버전에 완화 툴을 적용해야 하나요?

아니요, 한 번만 실행하면 모든 버전에서 발견된 취약한 요소가 비활성화됩니다. 다만, 버전 중 하나를 재설치하거나 업데이트하면 해당 요소가 다시 활성화될 수 있다는 점을 유의하세요. 이를 방지하려면 모든 버전이 최신 상태가 될 때까지 차선책 툴을 재실행하세요.

완화 툴만 사용하고 패치된 버전으로 바꾸지 않아도 되나요?

완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.

사용이 제한된 이전 Unity 5.x.x 버전을 사용하고 있습니다. 제가 사용하는 특정 Unity 버전에 대한 패치가 나올 예정인가요?

유니티는 5.6 및 2019.2 알파 이전의 공식적으로 지원되는 모든 버전에서 발견된 취약점을 해결하는 데 주력하고 있습니다. 현재로서는 기타 버전 패치에 관하여 밝힐 세부 정보가 없습니다.

업데이트 요구 사항으로 인해 에셋 번들을 재구성해야 하나요?

사용 중인 Unity 에디터의 버전에 따라 다릅니다. 대부분 고객은 번들을 재구성할 필요 없이 패치된 버전으로 업데이트할 수 있지만, 일부 고객의 경우 현재 사용 중인 버전에서 부 릴리스용 패치로 에셋 임포터가 업데이트되었습니다. 해당 고객의 경우 에셋 번들을 재구성해야 할 수도 있습니다.

에셋 번들을 재구성해야 하는지 어떻게 알 수 있나요?

패치된 Unity 에디터 버전에서 프로젝트를 처음 열 때 에셋이 다시 임포트되는 경우 번들을 재구성해야 할 수 있습니다.

참조

Unity에서는 최적의 웹사이트 경험을 제공하기 위해 쿠키를 사용합니다. 자세한 내용은 쿠키 정책 페이지를 참조하세요.

확인