Detalles de la vulnerabilidad
CVE ID: CVE-2020-12630, CVE-2020-12631
Tipo: Denegación de servicio
Fecha de descubrimiento: 31/01/2020
Descubierto por: Jack Baker
Disponibilidad de parche: 19/05/2020
Sistema operativo afectado: todas las plataformas compatibles
Versiones afectadas: todas
Gravedad: alta
Versiones de parche:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
Se identificaron dos problemas de memoria fuera de los límites en la función Unity Multiplayer and Networking UNET que afectan a los juegos y las aplicaciones creados con Unity Editor mediante UNET. Estos problemas podrían generar la denegación de servicio (DoS), lo que permitiría a un atacante bloquear el proceso de Unity y, potencialmente, el juego o la aplicación.
Pasos de corrección
Determina la versión que usas de Unity Editor
Abre un proyecto de Unity.
La versión de Unity se encuentra en el título de la ventana principal.

Instala la actualización
Si tu versión de Unity Editor no está en la lista de las versiones de parche de la sección anterior Detalles de la vulnerabilidad, puedes continuar con la instalación de la actualización de la siguiente manera.
Para instalar la actualización, puedes usar el verificador de actualizaciones de Unity Editor que está disponible en el menú File (Archivo) Help -> Check for Updates (Ayuda; Buscar actualizaciones).

Además, puedes descargar e instalar el parche correspondiente para tu versión de Unity Editor. Los enlaces de descarga están disponibles en las versiones de parches de la sección Detalles de la vulnerabilidad y en la sección Referencias .
Crea e implementa
Después de actualizar Unity Editor, puedes continuar con la creación de una nueva compilación de tu juego o aplicación, e implementar la nueva versión no editable.
Preguntas frecuentes
Se identificaron dos problemas de memoria fuera de los límites que podrían generar la denegación de servicio (DoS), lo que permitiría a un atacante bloquear el proceso de Unity y, potencialmente, el juego o la aplicación.
Sí. Los juegos y las aplicaciones creados con Unity Editor mediante la función Unity Multiplayer and Networking UNET se verán afectados.
Solo la función UNET de Unity se ve afectada por las vulnerabilidades identificadas.
Depende de la versión específica de Unity Editor que utilices. La mayoría de los clientes podrán actualizar a las versiones corregidas sin necesidad de volver a crear sus conjuntos, pero es posible que algunos clientes observen que los importadores de assets se han actualizado entre la versión que están usando actualmente y el parche para esa versión X. Es posible que esos clientes tengan que volver a crear los conjuntos de assets.
Todas las plataformas compatibles se ven afectadas.
Todas las versiones de la plataforma se ven afectadas.
Todas las versiones de Unity Editor se ven afectadas.
Lanzamos un parche para todas las versiones compatibles oficialmente de Unity Editor hasta 2020.2 Alpha. Todas las versiones futuras incluirán la actualización.
Unity lanzará un único parche para cada una de las versiones más actuales, es decir, la última actualización de Unity Editor.
En este momento, nos enfocamos en abordar las vulnerabilidades identificadas en todas las versiones compatibles oficialmente hasta 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity.
En este momento, nos enfocamos en abordar las vulnerabilidades identificadas en todas las versiones compatibles oficialmente hasta 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity.
Es posible que tengas que volver a crear los conjuntos si algún asset se vuelve a importar cuando abras tu proyecto por primera vez en la versión corregida de Unity Editor.
Referencias
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9