Aviso de atualização de segurança de março de 2019 (CVE-2019-9197)

Detalhes da vulnerabilidade

ID DO CVE: CVE-2019-9197

Tipo Execução remota de código

Detectada em: 03/10/2022 2018/11/15

Descoberto por: rgod da Equipe de Segurança 9sg - rgod@9sgsec.com trabalhando com a Iniciativa Zero Day da Trend Micro

Disponibilidade da correção: 30/01/2023 2019/03/04

Sistema operacional afetado: Windows

Versões afetadas: Todos (Windows)

Gravidade: Alta

Versões da correção:

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5(Win), tamanho= 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que pode levar à execução remota de código (RCE), permitindo que um invasor execute códigos remotamente no computador do usuário.

Etapas de correção

Determine a versão de seu Unity Editor

Abra um projeto Unity.

A versão do Unity fica visível no título da janela principal.

Unity Version in Window 2

No menu Arquivo, escolha Ajuda -> Sobre o Unity.

About Unity Dropdown

A versão do Unity é mostrada na janela Sobre o Unity.

About Unity in Editor

Instalar atualização

Se a sua versão do Unity Editor não for uma das listadas na seção Versões de correção dos detalhes das vulnerabilidades acima, você poderá continuar com a instalação da atualização da seguinte forma.

Para instalar a atualização, você pode usar o verificador de atualizações do Unity Editor disponível no menu File Help -> Check for Updates.

Unity Check for Updates

Além disso, você pode baixar e instalar o patch correspondente para sua versão do Unity Editor. Os links para download estão disponíveis na seção Versões de correções da seção Detalhes de vulnerabilidades e na seção Referências.

Ferramenta de mitigação

Se a sua versão do Unity Editor não estiver listada ou se não for possível instalar a atualização no momento, você poderá usar o Guia da Ferramenta de Mitigação [7].

Lembre-se de que a ação recomendada é instalar uma versão fixa do Unity Editor.

Perguntas frequentes

Foi identificado um problema de validação de string de entrada que pode levar à execução remota de código (RCE), permitindo que um invasor execute códigos remotamente no computador do usuário.

Não. Somente o Unity Editor é afetado.

Somente para Windows. As plataformas Mac e Linux não são afetadas pela vulnerabilidade identificada.

Todas as versões do Windows.

Todas as versões do Unity Editor em execução no Windows.

Lançamos um patch para as versões mais recentes do Unity Editor 5.6 e todas as versões oficialmente compatíveis até 2019.2 Alpha. Todas as versões futuras também vão contar com a atualização.

A Unity lançará um único patch para cada uma das atualizações mais recentes, ou seja, a última atualização do Unity Editor.

Estamos fornecendo uma ferramenta de mitigação que desativa o recurso vulnerável identificado do Unity Editor, que pode ser baixado do Guia da Ferramenta de Mitigação [7].

Leve em conta que a atenuação não é um patch e tem limitações. A atenuação desativará o recurso do Unity Editor identificado como vulnerável, mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da atenuação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor para obter os benefícios do patch completo. Você também não poderá mais usar a funcionalidade "Abrir no Unity" na versão do navegador da Web da Asset Store após aplicar a atenuação.

A ferramenta de atenuação pode ser usada em todas as versões afetadas do Unity Editor.

Leve em conta que a atenuação não é um patch e tem limitações. A atenuação desativará o recurso do Unity Editor identificado como vulnerável, mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da atenuação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor para obter os benefícios do patch completo. Você também não poderá mais usar a funcionalidade "Abrir no Unity" na versão do navegador da Web da Asset Store após aplicar a atenuação.

Não, ao executá-lo uma vez, ele desativa o componente vulnerável identificado em todos eles. Lembre-se de que, ao reinstalar ou atualizar (uma) das versões, o componente poderá ser ativado novamente. Para verificar, execute novamente a ferramenta de solução alternativa até que todas as versões estejam atualizadas.

A atenuação desativará o recurso do Unity Editor identificado como vulnerável, mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da atenuação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor para obter os benefícios do patch completo. Você também não poderá mais usar a funcionalidade "Abrir no Unity" na versão do navegador da Web da Asset Store após aplicar a atenuação.

Nosso foco agora é resolver a vulnerabilidade identificada na versão 5.6 e em todas as versões com suporte oficial até a versão 2019.2 Alpha. No momento, não temos detalhes para compartilhar sobre patches para outras versões.

Isso depende da versão específica do Unity Editor que você está usando. A maioria dos clientes poderá atualizar para as versões corrigidas sem precisar reconstruir seus pacotes, mas alguns clientes podem descobrir que os importadores de ativos foram atualizados entre a versão que estão usando no momento e a correção para esse dot-release. Para esses clientes, pode ser necessária a reconstrução do pacote de ativos.

Talvez seja necessário reconstruir seus pacotes se algum ativo for reimportado quando você abrir seu projeto pela primeira vez na versão corrigida do Unity Editor.

Referências