Unitys Sicherheitsupdate vom März 2019

Sicherheitsupdatehinweis vom März 2019 (CVE-2019-9197)

Details zur Sicherheitslücke

CVE-ID: CVE-2019-9197

Typ Remotecodeausführung

Entdeckt: 03.10.2022 - 2018/11/15 USD

Entdeckt von: rgod vom 9sg Security Team - rgod@9sgsec.com in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Patch-Verfügbarkeit: 30.01.2023 - 2019/03/04 USD

Betroffenes Betriebssystem: Windows

Betroffene Versionen: Alle (Windows)

Schwere: Hoch

Patch-Versionen:

[1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
[2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
[3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
[4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
[5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
[6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Im Unity-Editor wurde ein Problem mit der Validierung von Eingabezeichenfolgen festgestellt, das die Windows-Plattform betrifft und zu Remote Code Execution (RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Schritte zur Behebung

Bestimmen Sie die Version Ihres Unity Editors

Öffnen Sie ein Unity-Projekt.

Die Unity-Version ist im Titel des Hauptfensters sichtbar.

Wählen Sie im Menü Datei die Option Hilfe -> Über Unity.

Die Unity-Version wird im Fenster „Info zu Unity“ angezeigt.

Installiere Update

Wenn Ihre Version des Unity Editors nicht zu den im Abschnitt „Patch-Versionen im Abschnitt „Details zu Sicherheitslücken“ oben aufgeführten Versionen gehört, können Sie wie folgt mit der Installation des Updates fortfahren.

Um das Update zu installieren, können Sie den Update-Checker des Unity Editors verwenden, der im Menü Datei > Hilfe > Nach Updates suchenverfügbar ist.

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links sind in den Patch-Versionen des Abschnitts „ Details zu Sicherheitslücken“ und im Abschnitt „Referenzen“ verfügbar.

Risikominderungstool

Wenn Ihre Version des Unity Editors nicht aufgeführt ist oder Sie das Update derzeit nicht installieren können, können Sie den Mitigation Tool Guide [7]verwenden.

Bitte beachten Sie, dass die empfohlene Aktion darin besteht, eine korrigierte Version des Unity Editors zu installieren.

FAQ

Welche Art von Sicherheitslücke wurden in diesem Update behoben?

Beeinflusst diese Sicherheitslücke die erstellten Spiele/Anwendungen in irgendeiner Weise?

Welche Plattformen sind betroffen?

Welche Windows-Versionen sind betroffen?

Welche Versionen von Unity sind betroffen?

Welche Versionen des Unity Editors werden gepatcht?

Wird meine spezielle Version gepatcht?

Was ist mit Versionen, die älter als 5.6 sind?

Funktioniert das Mitigationstool für Versionen, die neuer als 5.6 sind? Kann ich das Mitigationstool anstelle eines Patches verwenden?

Ich verwende mehrere Versionen von Unity. Muss ich das Mitigationstool für alle anwenden?

Kann ich nur das Mitigationstool verwenden und nie auf eine gepatchte Version umsteigen?

Ich habe eine gesperrte ältere Version von Unity 5.xx Werden Sie einen Patch für die genaue Version von Unity erstellen, die ich verwende?

Muss ich aufgrund des Update-Bedarfs Asset-Bundles neu erstellen?

Woher weiß ich, ob ich meine Asset-Bundles neu erstellen muss?

Verweise

[1] 2019.2.0a7 (Win)
[2] 2019.1.0b5 (Win)
[3] 2018.3.7f1 (Windows)
[4] 2018.2.21f1 (Win)
[5] 2017.4.22f1 (Win)
[6] 5.6.7f1 (Win)
[7] Leitfaden zum Mitigationstool
[8] Risikominderungsinstrument