August 2017 Security Update Advisory (CVE-2017-12939)

Сведения об уязвимости

ИДЕНТИФИКАТОР CVE: CVE-2017-12939

Тип Удаленное выполнение кода

Дата обнаружения: 03.10.2022 - 2017/08/13 $

Обнаружено: Rio

Дата выпуска исправления: 30.01.2023 - 2017/08/18 $

Затронутая операционная система: Windows

Затронутые версии: Все (Windows)

Тяжесть: Высокий

Исправленные версии:

Обратите внимание: Версия для Mac предоставляется в качестве любезности для команд, использующих Windows и Mac. Версия для Mac НЕ подвержена выявленной уязвимости.

Если патч для вашей версии недоступен, воспользуйтесь инструментом Mitigation Tool [7] (все версии).

В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.

Действия по устранению

Определите версию вашего редактора Unity Editor

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

Unity Version in Window 2

В меню Файл выберите Справка -> О Unity.

About Unity Dropdown

Версия Unity отображается в окне О Unity.

About Unity in Editor

Установить обновление

Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.

Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.

Unity Check for Updates

Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".

Инструмент для смягчения последствий

Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].

Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.

FAQ

Какая уязвимость устраняется данным обновлением?

+

Влияет ли эта уязвимость каким-либо образом на встроенные игры/приложения?

+

Какие платформы затронуты уязвимостью?

+

Какие версии Windows затронуты?

+

Какие версии Unity затронуты?

+

Какие версии редактора Unity подвергаются исправлению?

+

Будет ли исправлена моя конкретная версия?

+

Что делать с версиями старше 5.3?

+

Когда будет доступен патч?

+

Работает ли средство обхода для версий новее 5.3? Могу ли я использовать инструмент обхода вместо исправления?

+

Я использую несколько версий Unity, нужно ли применять средство обхода для всех из них?

+

Могу ли я просто использовать обходной путь и никогда не переходить на исправленную версию?

+

Как я могу получить обходной путь (или исправления)?

+

У меня заблокированная старая версия Unity 5.x.x. Будете ли вы выпускать патч именно для той версии Unity, которую я использую?

+

Нужно ли будет перестраивать пакеты активов в связи с необходимостью обновления?

+

Как узнать, нужно ли перестраивать наборы активов?

+

Ссылки