What type of vulnerabilities were addressed in this update?

Two out-of-bounds memory issues were identified that could lead to Denial Of Service (DoS), allowing an attacker to crash the Unity process, and potentially the game or application.

Do these vulnerabilities affect built games/applications in any way?

Yes. Games and applications built with the Unity Editor using the Unity Multiplayer and Networking UNET feature are affected.

What Unity features are affected?

Only Unity UNET is affected by the identified vulnerabilities.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

What platforms are affected?

All supported platforms are affected.

What platform versions are affected?

All platform versions are affected.

What versions of Unity are affected?

All versions of the Unity Editor are affected.

What versions of the Unity Editor are being patched?

We have released a patch for all officially supported versions of the Unity Editor up to 2020.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current versions, i.e., last update of the Unity Editor.

What about versions 5.6 and older?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Aviso de actualización de seguridad de mayo de 2020 (CVE-2020-12630, CVE-2020-12631)

Detalles de la vulnerabilidad

Pasos de corrección

Preguntas frecuentes

Referencias

Detalles de la vulnerabilidad

CVE ID: CVE-2020-12630, CVE-2020-12631

Tipo: Denegación de servicio

Fecha de descubrimiento: 31/01/2020

Descubierto por: Jack Baker

Disponibilidad de parche: 19/05/2020

Sistema operativo afectado: todas las plataformas compatibles

Versiones afectadas: todas

Gravedad: alta

Versiones de parche:

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

Se identificaron dos problemas de memoria fuera de los límites en la función Unity Multiplayer and Networking UNET que afectan a los juegos y las aplicaciones creados con Unity Editor mediante UNET. Estos problemas podrían generar la denegación de servicio (DoS), lo que permitiría a un atacante bloquear el proceso de Unity y, potencialmente, el juego o la aplicación.

Pasos de corrección

Determina la versión que usas de Unity Editor

Abre un proyecto de Unity.

La versión de Unity se encuentra en el título de la ventana principal.

Instala la actualización

Si tu versión de Unity Editor no está en la lista de las versiones de parche de la sección anterior Detalles de la vulnerabilidad, puedes continuar con la instalación de la actualización de la siguiente manera.

Para instalar la actualización, puedes usar el verificador de actualizaciones de Unity Editor que está disponible en el menú File (Archivo) Help -> Check for Updates (Ayuda; Buscar actualizaciones).

Buscar actualizaciones en el Unity Editor

Además, puedes descargar e instalar el parche correspondiente para tu versión de Unity Editor. Los enlaces de descarga están disponibles en las versiones de parches de la sección Detalles de la vulnerabilidad y en la sección Referencias .

Crea e implementa

Después de actualizar Unity Editor, puedes continuar con la creación de una nueva compilación de tu juego o aplicación, e implementar la nueva versión no editable.

Preguntas frecuentes

¿Qué tipo de vulnerabilidades se abordaron en esta actualización?

Se identificaron dos problemas de memoria fuera de los límites que podrían generar la denegación de servicio (DoS), lo que permitiría a un atacante bloquear el proceso de Unity y, potencialmente, el juego o la aplicación.

¿Estas vulnerabilidades afectan de alguna manera a los juegos o las aplicaciones construidos?

Sí. Los juegos y las aplicaciones creados con Unity Editor mediante la función Unity Multiplayer and Networking UNET se verán afectados.

¿Qué funciones de Unity se ven afectadas?

Solo la función UNET de Unity se ve afectada por las vulnerabilidades identificadas.

¿Tendré que volver a crear los conjuntos de assets debido al requisito de actualización?

Depende de la versión específica de Unity Editor que utilices. La mayoría de los clientes podrán actualizar a las versiones corregidas sin necesidad de volver a crear sus conjuntos, pero es posible que algunos clientes observen que los importadores de assets se han actualizado entre la versión que están usando actualmente y el parche para esa versión X. Es posible que esos clientes tengan que volver a crear los conjuntos de assets.

¿Qué plataformas se ven afectadas?

Todas las plataformas compatibles se ven afectadas.

¿Qué versiones de la plataforma se ven afectadas?

Todas las versiones de la plataforma se ven afectadas.

¿Qué versiones de Unity se ven afectadas?

Todas las versiones de Unity Editor se ven afectadas.

¿Qué versiones de Unity Editor se corregirán?

Lanzamos un parche para todas las versiones compatibles oficialmente de Unity Editor hasta 2020.2 Alpha. Todas las versiones futuras incluirán la actualización.

¿Se corregirá mi versión específica?

Unity lanzará un único parche para cada una de las versiones más actuales, es decir, la última actualización de Unity Editor.

¿Qué pasa con las versiones 5.6 y anteriores?

En este momento, nos enfocamos en abordar las vulnerabilidades identificadas en todas las versiones compatibles oficialmente hasta 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity.

Tengo una versión anterior bloqueada de Unity 5.x.x. ¿Lanzarán un parche para la versión exacta de Unity que estoy usando?

En este momento, nos enfocamos en abordar las vulnerabilidades identificadas en todas las versiones compatibles oficialmente hasta 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity.

¿Cómo sé si tendré que volver a crear mis conjuntos de assets?

Es posible que tengas que volver a crear los conjuntos si algún asset se vuelve a importar cuando abras tu proyecto por primera vez en la versión corregida de Unity Editor.

Referencias

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9