Mise à jour de sécurité pour août 2017 d’Unity

Note de mise à jour de sécurité pour août 2017 (CVE-2017-12939)

Détails de la faille

CVE ID: CVE-2017-12939

Type: Exécution de code à distance

Découverte : 03/10/2022 - 2017/08/13 USD

Découvert par : Rio

Disponibilité des correctifs : 30/01/2023 - 2017/08/18 USD

Système d'exploitation affecté: Windows

Versions concernées : Tous (Windows)

Sévérité : Haute

Versions des correctifs :

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)

Veuillez noter: La version Mac est fournie par courtoisie pour les environnements d'équipe utilisant Windows et Mac. La version Mac n'est PAS affectée par la vulnérabilité identifiée.

Si un correctif n'est pas disponible pour votre version, veuillez utiliser l'outil d'atténuation [7] (Toutes versions).

Un problème de validation de chaîne de saisie a été identifié dans l’éditeur Unity affectant la plate-forme Windows et pouvant conduire à l’exécution de code à distance (RCE), permettant à un attaquant d’exécuter potentiellement du code à distance dans l’ordinateur de l’utilisateur.

Étapes de correction

Déterminer la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Dans le menu Fichier choisissez Aide -> À propos d'Unity.

La version Unity est affichée dans la fenêtre À propos d'Unity.

Installer la mise à jour

Si votre version de l'éditeur Unity ne figure pas dans la liste des versions correctrices de la section Détails des vulnérabilités ci-dessus, vous pouvez poursuivre l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour Unity Editor disponible dans le menu Fichier Aide -> Rechercher les mises à jour.

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions correctrices de la section Détails des vulnérabilités et dans la section Références.

Outil d'atténuation

Si votre version de l'éditeur Unity n'est pas répertoriée, ou si vous ne parvenez pas à installer la mise à jour pour le moment, vous pouvez utiliser le Guide des outils d'atténuation.

Veuillez garder à l'esprit l'action recommandée est d'installer une version fixe de l'éditeur Unity.

FAQ

Quels types de failles ont été corrigés dans cette mise à jour ?

Cette vulnérabilité affecte-t-elle les jeux/applications développés de quelque manière que ce soit ?

Quelles sont les plateformes concernées ?

Quelles versions de Windows sont concernées ?

Quelles versions d'Unity sont concernées ?

Quelles sont les versions de l'éditeur Unity corrigées ?

Ma version spécifique sera-t-elle corrigée ?

Qu'en est-il des versions antérieures à 5.3 ?

Quand le patch sera-t-il disponible ?

L'outil de contournement fonctionne-t-il pour les versions plus récentes que la 5.3 ? Puis-je utiliser l'outil de contournement au lieu de patcher ?

J'exécute plusieurs versions d'Unity, dois-je appliquer l'outil de contournement pour toutes ?

Puis-je simplement utiliser la solution de contournement et ne jamais passer à une version patchée ?

Comment puis-je obtenir la solution de contournement (ou les correctifs)?

J'ai une ancienne version verrouillée d'Unity 5.x.x. Produiras-tu un patch pour la version exacte d’Unity que j’utilise ?

Aurai-je besoin de reconstituer des ensembles d'actifs en raison de l'exigence de mise à jour?

Comment savoir si j’aurai besoin de reconstituer mes lots d’actifs ?

Références

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)
[7] Guide des outils d'atténuation