März 2019 Sicherheitsupdate-Hinweis (CVE-2019-9197)

Details zur Sicherheitslücke

CVE-ID: CVE-2019-9197

Typ: Entfernte Code-Ausführung

Entdeckt: 15.11.2018

Entdeckt von: rgod vom 9sg-Sicherheitsteam – rgod@9sgsec.com in Zusammenarbeit mit Trend Micro's Zero Day Initiative

Patch-Verfügbarkeit: 04.03.2019

Betroffene Betriebssysteme: Windows

Betroffene Versionen: Alle (Windows)

Schweregrad: Hoch

Patch-Versionen: 

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

Im Unity Editor wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das sich auf die Windows-Plattform auswirkt und zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Schritte zur Behebung

Bestimmen der Unity Editor-Version

Öffnen Sie ein Unity-Projekt.

Die Unity-Version wird im Titel des Hauptfensters angezeigt.

Unity Editor mit Anzeige der Unity-Version

Wählen Sie im Dateimenü Hilfe -> Über Unity aus.

Unity Editor mit Hilfe-Dropdown-Menü

Die Unity-Version wird im Fenster Über Unity angezeigt.

Unity-Infofenster im Editor

Update installieren

Wenn Ihre Version des Unity Editors nicht eine der aufgelisteten Patch-Versionen des obigen Abschnitts Details zur Sicherheitslücke ist, können Sie mit der Installation des Updates wie folgt fortfahren.

Um das Update zu installieren, können Sie die Aktualisierungsprüfung im Unity Editor im Dateimenü unter Hilfe -> Nach Updates suchen verwenden.

„Nach Updates suchen“ im Unity Editor

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links finden Sie unter Patch-Versionen im Abschnitt Details zur Sicherheitslücke und im Abschnitt Verweise.

Mitigationstool

Wenn Ihre Version des Unity Editors nicht aufgelistet ist oder Sie das Update zu diesem Zeitpunkt nicht installieren können, können Sie den Mitigationstool-Leitfaden [7] verwenden.

Bitte beachten Sie, dass die empfohlene Maßnahme darin besteht, eine korrigierte Version des Unity Editors zu installieren.

FAQ

Welche Art von Sicherheitslücke wurden in diesem Update behoben?

Es wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Beeinträchtigt diese Sicherheitslücke die entwickelten Spiele/Anwendungen in irgendeiner Weise?

Nein. Nur der Unity Editor ist davon betroffen.

Welche Plattformen sind betroffen?

Nur Windows. Die Mac- und Linux-Plattformen sind von der festgestellten Sicherheitslücke nicht betroffen.

Welche Versionen von Windows sind betroffen?

Alle Versionen von Windows.

Welche Versionen von Unity sind betroffen?

Alle Versionen des Unity Editors, die unter Windows laufen.

Für welche Versionen des Unity Editors werden Patches bereitgestellt?

Wir haben einen Patch für die aktuellen Unity Editor-Versionen von Version 5.6 sowie alle offiziell unterstützten Versionen bis zur Version 2019.2 Alpha veröffentlicht. Alle zukünftigen Versionen werden das Update ebenfalls enthalten.

Wird meine spezielle Version gepatcht werden?

Unity wird einen einzelnen Patch für die jeweils aktuellste Version, d. h. das letzte Update des Unity Editors, veröffentlichen.

Was ist mit älteren Versionen als 5.6?

Wir stellen ein Mitigationstool zur Verfügung, das die erkannte angreifbare Funktion des Unity Editors deaktiviert. Dieses Tool kann über den Mitigationstool-Leitfaden [7] heruntergeladen werden.

Bitte beachten Sie, dass die Fehlerumgehung kein Patch ist und Einschränkungen hat. Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.

Funktioniert das Mitigationstool auch für neuere Versionen als 5.6? Kann ich das Mitigationstool anstelle eines Patches verwenden?

Das Mitigationstool kann für alle betroffenen Versionen des Unity Editors verwendet werden.

Bitte beachten Sie, dass die Fehlerumgehung kein Patch ist und Einschränkungen hat. Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.

Ich verwende mehrere Versionen von Unity. Muss ich das Mitigationstool für alle Versionen anwenden?

Nein, durch einmaliges Ausführen wird die erkannte anfällige Komponente für alle Versionen deaktiviert. Beachten Sie, dass eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente erneut aktivieren kann. Um dies zu überprüfen, führen Sie das Mitigationstool erneut aus, bis alle Versionen auf dem neuesten Stand sind.

Kann ich nur das Mitigationstool verwenden und muss nie zu einer gepatchten Version wechseln?

Sie deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds wieder aktiviert werden, empfehlen wir dringend ein Update auf eine korrigierte Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Umgehungslösung angewendet haben.

Ich habe eine gesperrte ältere Version von Unity 5.x.x. Wird es einen Patch für die genaue Version von Unity geben, die ich verwende?

Im Moment konzentrieren wir uns darauf, die identifizierte Sicherheitslücken in Version 5.6 und allen offiziell unterstützten Versionen bis 2019.2 Alpha zu beheben. Zu Patches für andere Versionen liegen uns derzeit keine Informationen vor.

Muss ich die Asset-Bundles aufgrund der Aktualisierungsanforderungen neu erstellen?

Das hängt von der jeweiligen Version des Unity Editors ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen. Einige Kunden werden jedoch feststellen, dass zwischen der Version, die sie derzeit verwenden, und dem Patch für dieses Dot-Release Asset-Importer aktualisiert wurden. Für diese Kunden kann es erforderlich sein, die Asset-Bundles neu zu erstellen.

Woran erkenne ich, ob ich meine Asset-Bundles neu erstellen muss?

Es kann sein, dass Sie Ihre Bundles neu erstellen müssen, falls Assets neu importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version des Unity Editors öffnen.

Verweise

Wir verwenden Cookies, damit wir Ihnen die beste Erfahrung auf unserer Website bieten können. In unseren Cookie-Richtlinien erhalten Sie weitere Informationen.

Verstanden