Aviso sobre a atualização de segurança de agosto de 2017 (CVE-2017-12939)

Detalhes da vulnerabilidade

ID de CVE: CVE-2017-12939

Tipo: execução remota de código

Detectada em: 13/08/2017

Detectada por: Rio

Disponibilidade da correção: 18/08/2017

Sistema operacional afetado: Windows

Versões afetadas: todas (Windows)

Gravidade: alta

Versões da correção:

Observação: A versão para Mac é fornecida como cortesia para ambientes de equipes que usam Windows e Mac. A versão para Mac NÃO é afetada pela vulnerabilidade identificada.

Se não houver correção disponível para a sua versão, use a ferramenta de mitigação [7] (todas as versões).

Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.

Etapas de correção

Determine a versão do Unity Editor

Abra um projeto do Unity.

A versão do Unity está visível no título da janela principal.

Unity Editor exibindo uma versão do Unity

No menu File, escolha Help > About Unity.

Unity Editor com o menu suspenso Help

A versão do Unity é mostrada na janela About Unity.

Janela About Unity aberta no editor

Instale a atualização

Se a sua versão do Unity Editor não for uma das listadas nas versões de correção da seção Detalhes da vulnerabilidade acima, continue com a instalação da atualização da seguinte forma.

Para instalar a atualização, use o verificador de atualização do Unity Editor disponível no menu File, em Help > Check for Updates.

Check for Updates no Unity Editor

Além disso, você pode baixar e instalar o patch correspondente para a sua versão do Unity Editor. Os links para download estão disponíveis em Versões da correção na seção Detalhes da vulnerabilidade e na seção Referências.

Ferramenta de mitigação

Se a sua versão do Unity Editor não estiver listada, ou se não conseguir instalar a atualização neste momento, use o Guia da ferramenta de mitigação [7].

Lembre-se de que a ação recomendada é instalar uma versão corrigida do Unity Editor.

Perguntas frequentes

Que tipo de vulnerabilidade foi abordada nesta atualização?

Foi identificado um problema de validação de string de entrada que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.

Essa vulnerabilidade afeta jogos/aplicativos?

Não. Somente o Unity Editor é afetado.

Quais plataformas são afetadas?

Somente o Windows. As plataformas Mac e Linux não são afetadas pela vulnerabilidade identificada.

Quais versões do Windows são afetadas?

Todas as versões do Windows.

Quais versões do Unity são afetadas?

Todas as versões do Unity Editor executadas no Windows.

Quais versões do Unity Editor estão sendo corrigidas?

Nós lançamos correções para as seguintes versões do Unity: 5.3, 5.4, 5.5, 5.6 e 2017.1. Todos os detalhes estão listados nesta página.

As versões 4.x, 5.0, 5.1 e 5.2 do Unity não receberão correções.

A minha versão específica será corrigida?

A Unity lançará correções individuais para os lançamentos mais atuais de cada versão do Unity. Por exemplo, os usuários que usam uma versão mais antiga do Unity 5.3 vão precisar atualizar para a versão corrigida 5.3.8. Não haverá correções para os lançamentos 5.3.7, 5.3.6 etc.

E as versões anteriores à 5.3?

Estamos fornecendo uma ferramenta alternativa que desativa o recurso vulnerável identificado do Unity Editor, que pode ser baixada do Guia da ferramenta de mitigação [7]. No entanto, esteja ciente de que essa solução não é uma correção e tem limitações. Essa alternativa desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da solução (alterações no sistema, reinstalações etc.), recomendamos fortemente a atualização para a versão mais recente do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a solução.

Quando a correção será disponibilizada?

As atualizações estão disponíveis aqui, na seção Versões da correção.

A ferramenta alternativa funciona em versões mais novas do que a 5.3? Posso usar a ferramenta alternativa em vez de aplicar a correção?

A ferramenta alternativa pode ser usada em todas as versões afetadas do Unity. No entanto, esteja ciente de que essa solução não é uma correção e tem limitações: ela desativará os recursos do Unity Editor identificados como vulneráveis; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da solução (alterações no sistema, reinstalações etc.), recomendamos fortemente a atualização para uma versão corrigida. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a solução.

Eu uso várias versões do Unity. Preciso aplicar a ferramenta alternativa em todas elas?

Não. Ao executá-la uma vez, o componente identificado como vulnerável será desativado em todas elas. Esteja ciente de que uma reinstalação ou atualização de uma das versões pode reativar o componente. Para verificar, execute novamente a ferramenta alternativa até que todas as versões estejam atualizadas.

Posso simplesmente usar a solução alternativa e nunca mudar para uma versão corrigida?

A solução alternativa desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da solução (alterações no sistema, reinstalações etc.), recomendamos fortemente a atualização para uma versão corrigida. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a solução.

Onde posso encontrar a solução alternativa (ou as correções)?

As atualizações estão disponíveis aqui, na seção Versões da correção.

Eu tenho uma versão bloqueada mais antiga do Unity 5.x.x. Vocês vão produzir uma correção para a versão exata do Unity que estou usando?

Nosso foco neste momento é tratar a vulnerabilidade identificada no lançamento mais atual de cada versão. No momento não temos nenhum detalhe sobre correções para outras versões para compartilhar.

Vou precisar recompilar pacotes de assets por causa do requisito de atualização?

Depende da versão do Unity que você está usando. A maioria dos clientes conseguirá atualizar para as versões corrigidas sem a necessidade de recompilar os pacotes, mas alguns clientes poderão perceber que os importadores de assets foram atualizados entre a versão que estão usando atualmente e a correção para esse lançamento pontual. Para esses clientes, poderá ser necessário recompilar pacotes de assets.

Você com certeza não vai precisar recompilar os pacotes se estiver usando o lançamento 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 ou 2017.1.0p3.

Como vou saber se precisarei recompilar meus pacotes de assets?

Talvez você precise recompilar seus pacotes se algum asset for importado novamente quando você abrir um projeto pela primeira vez na versão corrigida do Unity.

Referências

Usamos cookies para garantir a melhor experiência no nosso site. Visite nossa página da política de cookies para obter mais informações.

Eu entendi