Detalles de la vulnerabilidad
CVE ID: CVE-2019-9197
Tipo: ejecución remota de código
Fecha de descubrimiento: 15/11/2018
Descubierto por: rgod of 9sg Security Team - rgod@9sgsec.com en colaboración con Zero Day Initiative de Trend Micro
Disponibilidad de parche: 04/03/2019
Sistema operativo afectado: Windows
Versiones afectadas: todas (Windows)
Gravedad: alta
Versiones de parche:
- [1] 2019.2.0a7 (Win), tamaño= 795.664 bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), tamaño= 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), tamaño=570.279 kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), tamaño=580.009 kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), tamaño=527.486 kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), tamaño=554.855 kB, md5=d761d8c151007ce2474ddc9d468abc02
Se identificó un problema de validación de la cadena de entrada en Unity Editor que afecta a la plataforma de Windows y que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.
Pasos de corrección
Determina la versión que usas de Unity Editor
Abre un proyecto de Unity.
La versión de Unity se encuentra en el título de la ventana principal.

En el menú File (Archivo), elige Help -> About Unity (Ayuda; Acerca de Unity).

La versión de Unity se muestra en la ventana About Unity (Acerca de Unity).

Instala la actualización
Si tu versión de Unity Editor no está en la lista de versiones de parche de la sección anterior Detalles de la vulnerabilidad, puedes continuar con la instalación de la actualización de la siguiente manera.
Para instalar la actualización, puedes usar el verificador de actualizaciones de Unity Editor que está disponible en el menú File (Archivo) Help -> Check for Updates (Ayuda; Buscar actualizaciones).

Además, puedes descargar e instalar el parche correspondiente para tu versión de Unity Editor. Los enlaces de descarga están disponibles en Patch Versions (Versiones de parches) de la sección Detalles de la vulnerabilidad y en la sección Referencias.
Herramienta de mitigación
Si tu versión de Unity Editor no aparece en la lista o si no puedes instalar la actualización en este momento, puedes usar la guía de herramientas de mitigación [7].
Ten en cuenta que la acción recomendada es instalar una versión no editable de Unity Editor.
Preguntas frecuentes
Se identificó un problema de validación de la cadena de entrada que podría generar la ejecución remota de código (RCE), lo que permite que un atacante pueda ejecutar código de forma remota en la computadora del usuario.
No. Solo Unity Editor se ve afectado.
Solo Windows. Las plataformas de Mac y Linux no se ven afectadas por la vulnerabilidad identificada.
Todas las versiones de Windows.
Todas las versiones de Unity Editor que se ejecutan en Windows.
Lanzamos un parche para las versiones más recientes 5.6 de Unity Editor y todas las versiones compatibles oficialmente hasta 2019.2 Alpha. Todas las versiones futuras incluirán la actualización.
Unity lanzará un único parche para cada una de las versiones más actuales, es decir, la última actualización de Unity Editor.
Ofrecemos una herramienta de mitigación que desactiva la característica vulnerable identificada de Unity Editor que se puede descargar desde la guía de herramientas de mitigación [7].
Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.
La herramienta de mitigación se puede utilizar en todas las versiones afectadas de Unity Editor.
Ten en cuenta que la mitigación no es un parche y tiene limitaciones. La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.
No. Al ejecutarla una vez, desactiva el componente vulnerable identificado en todas las versiones. Ten en cuenta que al reinstalar o actualizar (una) de las versiones, esto puede activar el componente nuevamente. Para comprobarlo, vuelve a ejecutar la herramienta de solución alternativa hasta que todas las versiones estén actualizadas.
La mitigación desactivará las funciones de Unity Editor identificadas como vulnerables, pero, como no podemos controlar si la funcionalidad afectada se vuelve a habilitar en algún momento después de aplicar la mitigación, recomendamos actualizar a una versión no editable de Unity Editor para obtener los beneficios del parche completo. Además, ya no podrás utilizar la funcionalidad Open in Unity (Abrir en Unity) en la versión del navegador web de Asset Store, que se muestra a continuación, después de aplicar la mitigación.
En este momento, nos enfocamos en abordar la vulnerabilidad identificada en la versión 5.6 y en todas las versiones compatibles oficialmente hasta 2019.2 Alpha. No tenemos ningún detalle para compartir sobre los parches para otras versiones en este momento.
Depende de la versión específica de Unity Editor que utilices. La mayoría de los clientes podrán actualizar a las versiones corregidas sin necesidad de volver a crear sus conjuntos, pero es posible que algunos clientes observen que los importadores de assets se han actualizado entre la versión que están usando actualmente y el parche para esa versión X. Es posible que esos clientes tengan que volver a crear los conjuntos de assets.
Es posible que tengas que volver a crear los conjuntos si algún asset se vuelve a importar cuando abras tu proyecto por primera vez en la versión corregida de Unity Editor.
Referencias
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [6] 5.6.7f1 (Win)
- [7] Guía de la herramienta de mitigación
- [8] Herramienta de mitigación