漏洞详情
CVE ID:CVE-2020-12630、CVE-2020-12631
类型:拒绝服务
发现时间:2020 年 1 月 31 日
发现者:Jack Baker
补丁发布时间:2020 年 5 月 19 日
受影响的操作系统:所有支持的平台
受影响的版本:所有版本
严重性:高
补丁版本:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
在 Unity Multiplayer 和 Networking UNET 功能中发现了两个越界内存访问问题,它们会影响到使用 UNET 和 Unity 编辑器构建的游戏及应用程序。上述问题可能导致拒绝服务 (DoS) 攻击,使攻击者能够造成 Unity 进程崩溃,并可能使游戏或应用程序崩溃。
补救措施
确定您的 Unity 编辑器的版本
打开一个 Unity 项目。
主窗口标题中显示了 Unity 的版本。

安装更新
如果您的 Unity 编辑器版本不是上面漏洞详情部分中补丁版本下列出的版本,则可以按如下所述继续安装更新。
要安装更新,您可以使用 File 菜单 Help > Check for Updates 中提供的 Unity 编辑器更新检查器。

构建及部署
更新 Unity 编辑器后,您可以继续制作游戏或应用程序的新版本,并部署新的修复版本。
常见问题解答
确定了两个越界内存访问问题,它们可能导致拒绝服务 (DoS) 攻击,使攻击者能够造成 Unity 进程崩溃,并可能使游戏或应用程序崩溃。
会的。使用 Unity Multiplayer 和 Networking UNET 功能及 Unity 编辑器构建的游戏和应用程序会受到影响。
只有 Unity UNET 受这些漏洞的影响。
这取决于您使用的 Unity 编辑器的具体版本。大多数客户在更新到已修复版本后无需重新构建其资源包,但有些客户可能会发现,资源导入器在他们当前使用的版本与针对点版本的补丁之间发生了更新。这些客户可能有必要重新构建资源包。
所有支持的平台都受到影响。
所有平台版本都受到影响。
所有版本的 Unity 编辑器都受到影响。
我们发布了一个补丁,适用于 2020.2 Alpha 之前的所有官方支持的 Unity 编辑器版本。所有未来版本也将包含该更新。
Unity 将针对每一个最新的(即最后一次更新的)Unity 编辑器版本发布补丁。
我们当前的工作重点是修复在 2020.2 Alpha 之前的所有官方支持版本中发现的漏洞。我们不打算为其他版本的 Unity 发布补丁。
我们当前的工作重点是修复在 2020.2 Alpha 之前的所有官方支持版本中发现的漏洞。我们不打算为其他版本的 Unity 发布补丁。
如果您在 Unity 编辑器的已修复版本中首次打开项目时重新导入了任何资源,则您可能需要重新构建资源包。
参考资料
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9