Details zur Sicherheitslücke
CVE-ID: CVE-2019-9197
Typ: Entfernte Code-Ausführung
Entdeckt: 15.11.2018
Entdeckt von: rgod vom 9sg-Sicherheitsteam – rgod@9sgsec.com in Zusammenarbeit mit Trend Micro's Zero Day Initiative
Patch-Verfügbarkeit: 04.03.2019
Betroffene Betriebssysteme: Windows
Betroffene Versionen: Alle (Windows)
Schweregrad: Hoch
Patch-Versionen:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
Im Unity Editor wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das sich auf die Windows-Plattform auswirkt und zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.
Schritte zur Behebung
Bestimmen der Unity Editor-Version
Öffnen Sie ein Unity-Projekt.
Die Unity-Version wird im Titel des Hauptfensters angezeigt.

Wählen Sie im Dateimenü Hilfe -> Über Unity aus.

Die Unity-Version wird im Fenster Über Unity angezeigt.

Update installieren
Wenn Ihre Version des Unity Editors nicht eine der aufgelisteten Patch-Versionen des obigen Abschnitts Details zur Sicherheitslücke ist, können Sie mit der Installation des Updates wie folgt fortfahren.
Um das Update zu installieren, können Sie die Aktualisierungsprüfung im Unity Editor im Dateimenü unter Hilfe -> Nach Updates suchen verwenden.

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links finden Sie unter Patch-Versionen im Abschnitt Details zur Sicherheitslücke und im Abschnitt Verweise.
Mitigationstool
Wenn Ihre Version des Unity Editors nicht aufgelistet ist oder Sie das Update zu diesem Zeitpunkt nicht installieren können, können Sie den Mitigationstool-Leitfaden [7] verwenden.
Bitte beachten Sie, dass die empfohlene Maßnahme darin besteht, eine korrigierte Version des Unity Editors zu installieren.
FAQ
Es wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.
Nein. Nur der Unity Editor ist davon betroffen.
Nur Windows. Die Mac- und Linux-Plattformen sind von der festgestellten Sicherheitslücke nicht betroffen.
Alle Versionen von Windows.
Alle Versionen des Unity Editors, die unter Windows laufen.
Wir haben einen Patch für die aktuellen Unity Editor-Versionen von Version 5.6 sowie alle offiziell unterstützten Versionen bis zur Version 2019.2 Alpha veröffentlicht. Alle zukünftigen Versionen werden das Update ebenfalls enthalten.
Unity wird einen einzelnen Patch für die jeweils aktuellste Version, d. h. das letzte Update des Unity Editors, veröffentlichen.
Wir stellen ein Mitigationstool zur Verfügung, das die erkannte angreifbare Funktion des Unity Editors deaktiviert. Dieses Tool kann über den Mitigationstool-Leitfaden [7] heruntergeladen werden.
Bitte beachten Sie, dass die Fehlerumgehung kein Patch ist und Einschränkungen hat. Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.
Das Mitigationstool kann für alle betroffenen Versionen des Unity Editors verwendet werden.
Bitte beachten Sie, dass die Fehlerumgehung kein Patch ist und Einschränkungen hat. Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.
Nein, durch einmaliges Ausführen wird die erkannte anfällige Komponente für alle Versionen deaktiviert. Beachten Sie, dass eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente erneut aktivieren kann. Um dies zu überprüfen, führen Sie das Mitigationstool erneut aus, bis alle Versionen auf dem neuesten Stand sind.
Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.
Im Moment konzentrieren wir uns darauf, die identifizierte Sicherheitslücken in Version 5.6 und allen offiziell unterstützten Versionen bis 2019.2 Alpha zu beheben. Zu Patches für andere Versionen liegen uns derzeit keine Informationen vor.
Das hängt von der jeweiligen Version des Unity Editors ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen. Einige Kunden werden jedoch feststellen, dass zwischen der Version, die sie derzeit verwenden, und dem Patch für dieses Dot-Release Asset-Importer aktualisiert wurden. Für diese Kunden kann es erforderlich sein, die Asset-Bundles neu zu erstellen.
Es kann sein, dass Sie Ihre Bundles neu erstellen müssen, falls Assets neu importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version des Unity Editors öffnen.
Verweise
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [6] 5.6.7f1 (Win)
- [7] Mitigationstool-Leitfaden
- [8] Mitigationstool