2020 年 5 月安全更新公告(CVE-2020-12630、CVE-2020-12631)

漏洞详情

CVE ID: CVE-2020-12630, CVE-2020-12631

类型 拒绝服务

已发现: -$100

发现者: 杰克·贝克

补丁可用性: -$100

受影响的操作系统: 所有支持的平台

受影响的版本: 所有

严重性: 

补丁版本:

在 Unity Multiplayer 和 Networking UNET 功能中发现了两个内存越界问题,这些问题影响了使用 Unity Editor 使用 UNET 构建的游戏和应用程序。这些问题可能导致拒绝服务 (DoS),从而允许攻击者使 Unity 进程崩溃,并可能导致游戏或应用程序崩溃。

补救步骤

确定您的 Unity 编辑器的版本

打开 Unity 项目。

Unity 版本在主窗口标题中可见。

窗口 2 中的 Unity 版本

安装更新

如果您的 Unity Editor 版本在上述 “漏洞详细信息” 部分列出的补丁版本中,则可以按如下方式继续安装更新。

要安装更新,您可以使用文件菜单 “帮助”-> “检查更新” 中提供的 Unity Editor 更新检查器。

Unity 检查更新

此外,您可以下载并安装适用于您的 Unity 编辑器版本的相应补丁。下载链接可在 “漏洞详细信息” 的补丁版本部分和 “参考” 部分中找到。

生成和部署

更新 Unity 编辑器后,您可以继续创建游戏或应用程序的新版本并部署新的固定版本。

常见问题解答

发现了两个可能导致拒绝服务 (DoS) 的越界内存问题,允许攻击者使 Unity 进程崩溃,并可能导致游戏或应用程序崩溃。

是的。使用 Unity Editor 使用 Unity Multiplayer 和 Networking UNET 功能构建的游戏和应用程序会受到影响。

只有Unity UNET 受到已发现漏洞的影响。

这取决于您使用的 Unity 编辑器的特定版本。大多数客户无需重建捆绑包即可更新到补丁版本,但一些客户可能会发现,资产导入器已在他们当前使用的版本和该点发行版的补丁之间进行了更新。对于这些客户来说,可能需要重建资产包。

所有支持的平台都受到影响。

所有平台版本都受到影响。

Unity 编辑器的所有版本都受到影响。

我们已经发布了适用于所有官方支持的Unity编辑器版本的补丁,最高版本为2020.2 Alpha。所有未来版本也将包含更新。

Unity 将为每个最新版本发布一个补丁,即 Unity 编辑器的最后一次更新。

我们目前的重点是解决2020.2 Alpha之前所有官方支持的版本中已发现的漏洞。我们不打算发布其他版本的Unity的补丁。

我们目前的重点是解决2020.2 Alpha之前所有官方支持的版本中已发现的漏洞。我们不打算发布其他版本的 Unity 的补丁

如果您首次在 Unity Editor 的补丁版本中打开项目时重新导入了任何资源,则可能需要重新生成捆绑包。

参考资料