Обновление безопасности Unity от марта 2019 года

March 2019 Security Update Advisory (CVE-2019-9197)

Сведения об уязвимости

ИДЕНТИФИКАТОР CVE: CVE-2019-9197

Тип Удаленное выполнение кода

Дата обнаружения: 03.10.2022 - 2018/11/15 $

Обнаружено: rgod из команды 9sg Security Team - rgod@9sgsec.com, сотрудничающей с Trend Micro's Zero Day Initiative.

Дата выпуска исправления: 30.01.2023 - 2019/03/04 $

Затронутая операционная система: Windows

Затронутые версии: Все (Windows)

Тяжесть: Высокий

Исправленные версии:

[1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
[2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
[3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
[4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
[5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
[6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.

Действия по устранению

Определите версию вашего редактора Unity Editor

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

В меню Файл выберите Справка -> О Unity.

Версия Unity отображается в окне О Unity.

Установить обновление

Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.

Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.

Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".

Инструмент для смягчения последствий

Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].

Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.

FAQ

Какая уязвимость устраняется данным обновлением?

Влияет ли эта уязвимость каким-либо образом на встроенные игры/приложения?

Какие платформы затронуты уязвимостью?

Какие версии Windows затронуты?

Какие версии Unity затронуты?

Какие версии редактора Unity подвергаются исправлению?

Будет ли исправлена моя конкретная версия?

Что делать с версиями старше 5.6?

Работает ли средство устранения последствий для версий, более новых, чем 5.6? Можно ли вместо исправления использовать средство защиты?

Я использую несколько версий Unity, нужно ли применять средство защиты для всех из них?

Могу ли я просто использовать средство защиты и никогда не переходить на исправленную версию?

У меня заблокированная старая версия Unity 5.x.x. Будете ли вы выпускать патч именно для той версии Unity, которую я использую?

Нужно ли будет перестраивать пакеты активов в связи с необходимостью обновления?

Как узнать, нужно ли перестраивать наборы активов?

Ссылки

[1] 2019.2.0a7(Win)
[2] 2019.1.0b5(Win)
[3] 2018.3.7f1(Win)
[4] 2018.2.21f1(Win)
[5] 2017.4.22f1(Win)
[6] 5.6.7f1(Win)
[7] Руководство по средствам смягчения последствий
[8] Средство защиты