Details zur Sicherheitslücke
CVE-ID: CVE-2017-12939
Typ: Entfernte Code-Ausführung
Entdeckt: 13.08.2017
Entdeckt von: Rio
Patch-Verfügbarkeit: 18.08.2017
Betroffene Betriebssysteme: Windows
Betroffene Versionen: Alle (Windows)
Schweregrad: Hoch
Patch-Versionen:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Bitte beachten Sie: Die Mac-Version wird als Entgegenkommen für Teamumgebungen mit Windows und Mac bereitgestellt. Die Mac-Version ist von der festgestellten Sicherheitslücke NICHT betroffen.
Wenn für Ihre Version kein Patch verfügbar ist, verwenden Sie bitte das Mitigationstool [7] (alle Versionen).
Im Unity Editor wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das sich auf die Windows-Plattform auswirkt und zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.
Schritte zur Behebung
Bestimmen der Unity Editor-Version
Öffnen Sie ein Unity-Projekt.
Die Unity-Version wird im Titel des Hauptfensters angezeigt.

Wählen Sie im Dateimenü Hilfe -> Über Unity aus.

Die Unity-Version wird im Fenster Über Unity angezeigt.

Update installieren
Wenn Ihre Version des Unity Editors nicht eine der aufgelisteten Patch-Versionen des obigen Abschnitts Details zur Sicherheitslücke ist, können Sie mit der Installation des Updates wie folgt fortfahren.
Um das Update zu installieren, können Sie die Aktualisierungsprüfung im Unity Editor im Dateimenü unter Hilfe -> Nach Updates suchen verwenden.

Zusätzlich können Sie den entsprechenden Patch für Ihre Version des Unity Editors herunterladen und installieren. Die Download-Links finden Sie unter Patch-Versionen im Abschnitt Details zur Sicherheitslücke und im Abschnitt Verweise.
Mitigationstool
Wenn Ihre Version des Unity Editors nicht aufgelistet ist oder Sie das Update zu diesem Zeitpunkt nicht installieren können, können Sie den Mitigationstool-Leitfaden [7] verwenden.
Bitte beachten Sie, dass die empfohlene Maßnahme darin besteht, eine korrigierte Version des Unity Editors zu installieren.
FAQ
Es wurde ein Problem bei der Validierung von Eingabestrings festgestellt, das zu einer entfernten Code-Ausführung (Remote Code Execution, RCE) führen kann, wodurch ein Angreifer möglicherweise Code aus der Ferne auf dem Computer des Benutzers ausführen kann.
Nein. Nur der Unity Editor ist davon betroffen.
Nur Windows. Die Mac- und Linux-Plattformen sind von der festgestellten Sicherheitslücke nicht betroffen.
Alle Versionen von Windows.
Alle Versionen des Unity Editors, die unter Windows laufen.
Wir haben einen Patch für die folgenden Unity-Versionen veröffentlicht: 5.3, 5.4, 5.5, 5.6 und 2017.1. Die vollständigen Einzelheiten sind auf dieser Seite aufgeführt.
Wir werden keine Patches für Unity 4.x, 5.0, 5.1 oder 5.2 bereitstellen.
Unity wird einen einzelnen Patch für jede der aktuellen Dot-Releases von Unity veröffentlichen. Beispiel: Benutzer, die eine ältere Version von Unity 5.3 verwenden, müssen auf die gepatchte Version 5.3.8 aktualisieren. Es wird keine Patches für 5.3.7, 5.3.6, etc. geben.
Wir stellen ein Mitigationstool zur Verfügung, das die erkannte angreifbare Funktion des Unity Editors deaktiviert. Dieses Tool kann über den Mitigationstool-Leitfaden [7] heruntergeladen werden. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat. Der Workaround deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf die aktuelle Version des Unity Editors, um von den Vorteilen des vollständigen Patchs zu profitieren. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.
Die Updates sind hier im Abschnitt „Patch-Versionen“ verfügbar.
Das Mitigationstool kann für alle betroffenen Versionen von Unity verwendet werden. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat: Der Workaround deaktiviert die erkannten anfälligen Funktionen im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf eine gepatchte Version. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.
Nein, durch einmaliges Ausführen wird die erkannte anfällige Komponente für alle Versionen deaktiviert. Beachten Sie, dass eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente erneut aktivieren kann. Um dies zu überprüfen, führen Sie das Mitigationstool erneut aus, bis alle Versionen auf dem neuesten Stand sind.
Der Workaround deaktiviert die anfällige Funktion im Unity Editor. Da wir jedoch nicht kontrollieren können, ob die betroffenen Funktionen irgendwann nach der Anwendung des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert werden, empfehlen wir dringend ein Update auf eine gepatchte Version. Sie können auch die Funktion „In Unity öffnen“ in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie den Workaround angewendet haben.
Die Updates sind hier im Abschnitt „Patch-Versionen“ verfügbar.
Im Moment konzentrieren wir uns darauf, die identifizierte Sicherheitslücke in der aktuellsten Version der jeweiligen Dot-Releases zu beheben. Zu Patches für andere Versionen liegen uns derzeit keine Informationen vor.
Das hängt von der jeweiligen Version von Unity ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen. Einige Kunden werden jedoch feststellen, dass zwischen der Version, die sie derzeit verwenden, und dem Patch für dieses Dot-Release Asset-Importer aktualisiert wurden. Für diese Kunden kann es erforderlich sein, die Asset-Bundles neu zu erstellen.
Wenn Sie derzeit 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 oder 2017.1.0p3 verwenden, brauchen Sie die Bundles definitiv nicht neu zu erstellen.
Es kann sein, dass Sie Ihre Bundles neu erstellen müssen, falls Assets neu importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version von Unity öffnen.