Aviso de actualización de seguridad de marzo de 2019 (CVE-2019-9197)

Detalles de la vulnerabilidad

CVE ID: CVE-2019-9197

Tipo: ejecución remota de código

Fecha de descubrimiento: 15/11/2018

Descubierto por: rgod of 9sg Security Team - rgod@9sgsec.com en colaboración con Zero Day Initiative de Trend Micro

Disponibilidad de parche: 04/03/2019

Sistema operativo afectado: Windows

Versiones afectadas: todas (Windows)

Gravedad: alta

Versiones de parche: 

  • [1] 2019.2.0a7 (Win), tamaño= 795.664 bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), tamaño= 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), tamaño=570.279 kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), tamaño=580.009 kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), tamaño=527.486 kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), tamaño=554.855 kB, md5=d761d8c151007ce2474ddc9d468abc02

Se identificó un problema de validación de la cadena de entrada en Unity Editor que afecta a la plataforma de Windows y que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.

Pasos de corrección

Determina la versión que usas de Unity Editor

Abre un proyecto de Unity.

La versión de Unity se encuentra en el título de la ventana principal.

Unity Editor con la versión de Unity

En el menú File (Archivo), elige Help -> About Unity (Ayuda; Acerca de Unity).

Unity Editor con menú desplegable de ayuda

La versión de Unity se muestra en la ventana About Unity (Acerca de Unity).

Ventana About Unity abierta en el editor

Instala la actualización

Si tu versión de Unity Editor no está en la lista de versiones de parche de la sección anterior Detalles de la vulnerabilidad, puedes continuar con la instalación de la actualización de la siguiente manera.

Para instalar la actualización, puedes usar el verificador de actualizaciones de Unity Editor que está disponible en el menú File (Archivo) Help -> Check for Updates (Ayuda; Buscar actualizaciones).

Buscar actualizaciones en el Unity Editor

Además, puedes descargar e instalar el parche correspondiente para tu versión de Unity Editor. Los enlaces de descarga están disponibles en Patch Versions (Versiones de parches) de la sección Detalles de la vulnerabilidad y en la sección Referencias.

Herramienta de mitigación

Si tu versión de Unity Editor no aparece en la lista o si no puedes instalar la actualización en este momento, puedes usar la guía de herramientas de mitigación [7].

Ten en cuenta que la acción recomendada es instalar una versión no editable de Unity Editor.

Preguntas frecuentes

¿Qué tipo de vulnerabilidad se abordó en esta actualización?

Se identificó un problema de validación de la cadena de entrada que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.

¿Esta vulnerabilidad afecta de alguna manera a los juegos o las aplicaciones construidos?

No. Solo Unity Editor se ve afectado.

¿Qué plataformas se ven afectadas?

Solo Windows. Las plataformas de Mac y Linux no se ven afectadas por la vulnerabilidad identificada.

¿Qué versiones de Windows se ven afectadas?

Todas las versiones de Windows.

¿Qué versiones de Unity se ven afectadas?

Todas las versiones de Unity Editor que se ejecutan en Windows.

¿Qué versiones de Unity Editor se corregirán?

Lanzamos un parche para las versiones más recientes 5.6 de Unity Editor y todas las versiones compatibles oficialmente hasta 2019.2 Alpha. Todas las versiones futuras incluirán la actualización.

¿Se corregirá mi versión específica?

Unity lanzará un único parche para cada una de las versiones más actuales, es decir, la última actualización de Unity Editor.

¿Qué ocurre con las versiones anteriores a 5.6?

Ofrecemos una herramienta de mitigación que desactiva la característica vulnerable identificada de Unity Editor que se puede descargar desde la guía de herramientas de mitigación [7].

Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.

¿La herramienta de mitigación funciona para versiones posteriores a 5.6? ¿Puedo usar la herramienta de mitigación en lugar de aplicar el parche?

La herramienta de mitigación se puede utilizar en todas las versiones afectadas de Unity Editor.

Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.

Uso varias versiones de Unity. ¿Tengo que aplicar la herramienta de mitigación para todas?

No. Al ejecutarla una vez, desactiva el componente vulnerable identificado en todas las versiones. Ten en cuenta que al reinstalar o actualizar (una) de las versiones, esto puede activar el componente nuevamente. Para comprobarlo, vuelve a ejecutar la herramienta de solución alternativa hasta que todas las versiones estén actualizadas.

¿Puedo usar la herramienta de mitigación y no aplicar nunca una versión con parche?

La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.

Tengo una versión anterior bloqueada de Unity 5.x.x. ¿Lanzarán un parche para la versión exacta de Unity que estoy usando?

En este momento, nos enfocamos en abordar la vulnerabilidad identificada en la versión 5.6 y en todas las versiones compatibles oficialmente hasta 2019.2 Alpha. No tenemos ningún detalle para compartir sobre los parches para otras versiones en este momento.

¿Tendré que volver a crear los conjuntos de assets debido al requisito de actualización?

Depende de la versión específica de Unity Editor que utilices. La mayoría de los clientes podrán actualizar a las versiones corregidas sin necesidad de volver a crear sus conjuntos, pero es posible que algunos clientes observen que los importadores de assets se han actualizado entre la versión que están usando actualmente y el parche para esa versión X. Es posible que esos clientes tengan que volver a crear los conjuntos de assets.

¿Cómo sé si tendré que volver a crear mis conjuntos de assets?

Es posible que tengas que volver a crear los conjuntos si algún asset se vuelve a importar cuando abras tu proyecto por primera vez en la versión corregida de Unity Editor.

Referencias

Usamos cookies para brindarte la mejor experiencia en nuestro sitio web. Visita nuestra página de política de cookies si deseas más información.

Listo