August 2017 Sicherheitsupdate-Hinweis (CVE-2017-12939)

Details zur Sicherheitslücke

CVE-ID: CVE-2017-12939

Typ: Entfernte Code-Ausführung

Entdeckt: 13.08.2017

Entdeckt von: Rio

Patch-Verfügbarkeit: 18.08.2017

Betroffene Betriebssysteme: Windows

Betroffene Versionen: Alle (Windows)

Schweregrad: Hoch

Patch-Versionen:

Bitte beachten Sie: Die Mac-Version wird als Entgegenkommen für Teamumgebungen mit Windows und Mac bereitgestellt. Die Mac-Version ist von der festgestellten Sicherheitslücke NICHT betroffen.

Wenn für Ihre Version kein Patch verfügbar ist, verwenden Sie bitte das Mitigationstool [7] (alle Versionen).

Im Unity Editor wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das sich auf die Windows-Plattform auswirkt und zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Schritte zur Behebung

Bestimmen der Unity Editor-Version

Öffnen Sie ein Unity-Projekt.

Die Unity-Version wird im Titel des Hauptfensters angezeigt.

Unity Editor mit Anzeige der Unity-Version

Wählen Sie im Dateimenü Hilfe -> Über Unity aus.

Unity Editor mit Hilfe-Dropdown-Menü

Die Unity-Version wird im Fenster Über Unity angezeigt.

Unity-Infofenster im Editor

Update installieren

Wenn Ihre Version des Unity Editors nicht eine der aufgelisteten Patch-Versionen des obigen Abschnitts Details zur Sicherheitslücke ist, können Sie mit der Installation des Updates wie folgt fortfahren.

Um das Update zu installieren, können Sie die Aktualisierungsprüfung im Unity Editor im Dateimenü unter Hilfe -> Nach Updates suchen verwenden.

„Nach Updates suchen“ im Unity Editor

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links finden Sie unter Patch-Versionen im Abschnitt Details zur Sicherheitslücke und im Abschnitt Verweise.

Mitigationstool

Wenn Ihre Version des Unity Editors nicht aufgelistet ist oder Sie das Update zu diesem Zeitpunkt nicht installieren können, können Sie den Mitigationstool-Leitfaden [7] verwenden.

Bitte beachten Sie, dass die empfohlene Maßnahme darin besteht, eine korrigierte Version des Unity Editors zu installieren.

FAQ

Welche Art von Sicherheitslücke wurden in diesem Update behoben?

Es wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.

Beeinträchtigt diese Sicherheitslücke die entwickelten Spiele/Anwendungen in irgendeiner Weise?

Nein. Nur der Unity Editor ist davon betroffen.

Welche Plattformen sind betroffen?

Nur Windows. Die Mac- und Linux-Plattformen sind von der festgestellten Sicherheitslücke nicht betroffen.

Welche Versionen von Windows sind betroffen?

Alle Versionen von Windows.

Welche Versionen von Unity sind betroffen?

Alle Versionen des Unity Editors, die unter Windows laufen.

Für welche Versionen des Unity Editors werden Patches bereitgestellt?

Wir haben einen Patch für die folgenden Unity-Versionen veröffentlicht: 5.3, 5.4, 5.5, 5.6 und 2017.1. Die vollständigen Einzelheiten sind auf dieser Seite aufgeführt.

Wir werden keine Patches für Unity 4.x, 5.0, 5.1 oder 5.2 bereitstellen.

Wird meine spezielle Version gepatcht werden?

Unity wird einen einzelnen Patch für jede der aktuellen Dot-Releases von Unity veröffentlichen. Beispiel: Benutzer, die eine ältere Version von Unity 5.3 verwenden, müssen auf die gepatchte Version 5.3.8 aktualisieren. Es wird keine Patches für 5.3.7, 5.3.6, etc. geben.

Was ist mit älteren Versionen als 5.3?

Wir stellen ein Mitigationstool zur Verfügung, das die erkannte angreifbare Funktion des Unity Editors deaktiviert. Dieses Tool kann über den Mitigationstool-Leitfaden [7] heruntergeladen werden. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat. Der Workaround deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf die aktuelle Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.

Wann wird der Patch verfügbar sein?

Die Updates sind hier im Abschnitt „Patch-Versionen“ verfügbar.

Funktioniert das Mitigationstool auch für neuere Versionen als 5.3? Kann ich das Mitigationstool anstelle eines Patches verwenden?

Das Mitigationstool kann für alle betroffenen Versionen von Unity verwendet werden. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat: Der Workaround deaktiviert die erkannten anfälligen Funktionen im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf eine gepatchte Version. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.

Ich verwende mehrere Versionen von Unity. Muss ich das Mitigationstool für alle Versionen anwenden?

Nein, durch einmaliges Ausführen wird die erkannte anfällige Komponente für alle Versionen deaktiviert. Beachten Sie, dass eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente erneut aktivieren kann. Um dies zu überprüfen, führen Sie das Mitigationstool erneut aus, bis alle Versionen auf dem neuesten Stand sind.

Kann ich nur das Mitigationstool verwenden und muss nie zu einer gepatchten Version wechseln?

Der Workaround deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf eine gepatchte Version. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.

Wie kann ich den Workaround (oder die Patches) erhalten?

Die Updates sind hier im Abschnitt „Patch-Versionen“ verfügbar.

Ich habe eine gesperrte ältere Version von Unity 5.x.x. Wird es einen Patch für die genaue Version von Unity geben, die ich verwende?

Im Moment konzentrieren wir uns darauf, die identifizierte Sicherheitslücke in der aktuellsten Version der jeweiligen Dot-Releases zu beheben. Zu Patches für andere Versionen liegen uns derzeit keine Informationen vor.

Muss ich die Asset-Bundles aufgrund der Aktualisierungsanforderungen neu erstellen?

Das hängt von der jeweiligen Version von Unity ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen. Einige Kunden werden jedoch feststellen, dass zwischen der Version, die sie derzeit verwenden, und dem Patch für dieses Dot-Release Asset-Importer aktualisiert wurden. Für diese Kunden kann es erforderlich sein, die Asset-Bundles neu zu erstellen.

Wenn Sie derzeit 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 oder 2017.1.0p3 verwenden, brauchen Sie die Bundles definitiv nicht neu zu erstellen.

Woran erkenne ich, ob ich meine Asset-Bundles neu erstellen muss?

Es kann sein, dass Sie Ihre Bundles neu erstellen müssen, falls Assets neu importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version von Unity öffnen.

Verweise

Wir verwenden Cookies, damit wir Ihnen die beste Erfahrung auf unserer Website bieten können. In unseren Cookie-Richtlinien erhalten Sie weitere Informationen.

Verstanden