What type of vulnerabilities were addressed in this update?

Two out-of-bounds memory issues were identified that could lead to Denial Of Service (DoS), allowing an attacker to crash the Unity process, and potentially the game or application.

Do these vulnerabilities affect built games/applications in any way?

Yes. Games and applications built with the Unity Editor using the Unity Multiplayer and Networking UNET feature are affected.

What Unity features are affected?

Only Unity UNET is affected by the identified vulnerabilities.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

What platforms are affected?

All supported platforms are affected.

What platform versions are affected?

All platform versions are affected.

What versions of Unity are affected?

All versions of the Unity Editor are affected.

What versions of the Unity Editor are being patched?

We have released a patch for all officially supported versions of the Unity Editor up to 2020.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current versions, i.e., last update of the Unity Editor.

What about versions 5.6 and older?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Mai 2020 Sicherheitsupdate-Beratung (CVE-2020-12630, CVE-2020-12631)

Details zur Sicherheitslücke

Schritte zur Behebung

FAQ

Verweise

Details zur Sicherheitslücke

CVE-ID: CVE-2020-12630, CVE-2020-12631

Typ: Denial of Service

Entdeckt: 31.01.2020

Entdeckt von: Jack Baker

Patch-Verfügbarkeit: 19.05.2020

Betroffene Betriebssysteme: Alle unterstützten Plattformen

Betroffene Versionen: Alle

Schweregrad: Hoch

Patch-Versionen:

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

Es wurden zwei Speicherzugriffsfehler in der Unity Multiplayer- und Netzwerk-Funktion UNET entdeckt, die sich auf Spiele und Anwendungen auswirkt, die mit dem Unity Editor unter Verwendung von UNET erstellt wurden. Diese Probleme können zu Denial of Service (DoS) führen, wodurch ein Angreifer den Unity-Prozess und möglicherweise das Spiel oder die Anwendung zum Absturz bringen kann.

Schritte zur Behebung

Bestimmen der Unity Editor-Version

Öffnen Sie ein Unity-Projekt.

Die Unity-Version wird im Titel des Hauptfensters angezeigt.

Unity Editor mit Anzeige der Unity-Version

Update installieren

Wenn Ihre Version des Unity Editors nicht eine der aufgelisteten Patch-Versionen des obigen Abschnitts Details zur Sicherheitslücke ist, können Sie mit der Installation des Updates wie folgt fortfahren.

Um das Update zu installieren, können Sie die Aktualisierungsprüfung im Unity Editor im Dateimenü unter Hilfe -> Nach Updates suchen verwenden.

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links finden Sie unter Patch-Versionen im Abschnitt Details zur Sicherheitslücke und im Abschnitt Verweise.

Erstellen und veröffentlichen

Sobald Sie den Unity Editor aktualisiert haben, können Sie mit der Erstellung eines neuen Builds Ihres Spiels oder Ihrer Anwendung fortfahren und die neue korrigierte Version bereitstellen.

FAQ

Welche Art von Sicherheitslücken wurden in diesem Update behoben?

Es wurden zwei Speicherzugriffsfehler identifiziert, die zu einem Denial-of-Service (DoS) führen können, wodurch ein Angreifer den Unity-Prozess und möglicherweise das Spiel oder die Anwendung zum Absturz bringen kann.

Beeinträchtigen diese Sicherheitslücken die entwickelten Spiele/Anwendungen in irgendeiner Weise?

Ja. Spiele und Anwendungen, die mit dem Unity Editor unter Verwendung der Unity Multiplayer und Netzwerkfunktion UNET erstellt wurden, sind davon betroffen.

Welche Unity-Funktionen sind betroffen?

Nur Unity UNET ist von den entdeckten Sicherheitslücken betroffen.

Muss ich die Asset-Bundles aufgrund der Aktualisierungsanforderungen neu erstellen?

Das hängt von der jeweiligen Version des Unity Editors ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen. Einige Kunden werden jedoch feststellen, dass zwischen der Version, die sie derzeit verwenden, und dem Patch für dieses Dot-Release Asset-Importer aktualisiert wurden. Für diese Kunden kann es erforderlich sein, die Asset-Bundles neu zu erstellen.

Welche Plattformen sind betroffen?

Alle unterstützten Plattformen sind betroffen.

Welche Plattformversionen sind betroffen?

Alle Plattformversionen sind betroffen.

Welche Versionen von Unity sind betroffen?

Alle Versionen des Unity Editors sind davon betroffen.

Für welche Versionen des Unity Editors werden Patches bereitgestellt?

Wir haben einen Patch für alle offiziell unterstützten Versionen des Unity Editors bis zur Version 2020.2 Alpha veröffentlicht. Alle zukünftigen Versionen werden das Update ebenfalls enthalten.

Wird meine spezielle Version gepatcht werden?

Unity wird einen einzelnen Patch für die jeweils aktuellste Version, d. h. das letzte Update des Unity Editors, veröffentlichen.

Was ist mit den Versionen 5.6 und älter?

Im Moment konzentrieren wir uns darauf, die identifizierten Sicherheitslücken in allen offiziell unterstützten Versionen bis 2020.2 Alpha zu beheben. Es ist nicht geplant, einen Patch für andere Versionen von Unity zu veröffentlichen.

Ich habe eine gesperrte ältere Version von Unity 5.x.x. Wird es einen Patch für die genaue Version von Unity geben, die ich verwende?

Im Moment konzentrieren wir uns darauf, die identifizierten Sicherheitslücken in allen offiziell unterstützten Versionen bis 2020.2 Alpha zu beheben. Es ist nicht geplant, einen Patch für andere Versionen von Unity zu veröffentlichen.

Woran erkenne ich, ob ich meine Asset-Bundles neu erstellen muss?

Es kann sein, dass Sie Ihre Bundles neu erstellen müssen, falls Assets neu importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version des Unity Editors öffnen.

Verweise

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9