Aviso de actualización de seguridad de mayo de 2020 (CVE-2020-12630, CVE-2020-12631)

Detalles de la vulnerabilidad

CVE ID: CVE-2020-12630, CVE-2020-12631

Tipo Denegación de servicio

Fecha de descubrimiento: 3/10/2022 -USD 2020/01/31

Descubierto por: Jack Baker

Disponibilidad del parche: 30/1/2023 -USD 2020/05/19

Sistema operativo afectado: Todas las plataformas compatibles

Versiones afectadas: Todos los planes

Gravedad: Alta

Versiones de parche:

Se han identificado dos problemas de memoria fuera de los límites en la función UNET de Unity Multiplayer and Networking que afectan a juegos y aplicaciones creados con el editor de Unity utilizando UNET. Estos problemas podrían conducir a una denegación de servicio (DoS), permitiendo a un atacante bloquear el proceso de Unity, y potencialmente el juego o la aplicación.

Pasos de corrección

Determine la versión de su editor Unity

Abra un proyecto Unity.

La versión de Unity es visible en el título de la ventana principal.

Versión Unity en Ventana 2

Instalar actualización

Si su versión del Editor de Unity no es una de las Versiones de Parche listadas en la sección Detalles de la Vulnerabilidad de arriba, puede continuar con la instalación de la actualización de la siguiente manera.

Para instalar la actualización puede utilizar el comprobador de actualizaciones del Editor de Unity disponible en el menú Archivo Ayuda -> Buscar actualizaciones.

Comprobación de actualizaciones de Unity

Además, puede descargar e instalar el parche correspondiente para su versión del editor Unity. Los enlaces de descarga están disponibles en la sección Versiones del parche de la sección Detalles de la vulnerabilidad y en la sección Referencias.

Construir y desplegar

Una vez que haya actualizado el Editor de Unity, puede seguir adelante haciendo una nueva compilación de su juego o aplicación y desplegar la nueva versión corregida.

Preguntas frecuentes

Se identificaron dos problemas de memoria fuera de los límites que podrían conducir a la denegación de servicio (DoS), permitiendo a un atacante bloquear el proceso de Unity, y potencialmente el juego o la aplicación.

Sí. Se ven afectados los juegos y aplicaciones creados con el editor de Unity que utilizan la función Unity Multiplayer and Networking UNET.

Sólo Unity UNET se ve afectada por las vulnerabilidades identificadas.

Depende de la versión específica del Editor de Unity que esté utilizando. La mayoría de los clientes podrán actualizar a las versiones parcheadas sin necesidad de reconstruir sus paquetes, pero es posible que algunos clientes descubran que los importadores de activos se han actualizado entre la versión que utilizan actualmente y el parche para ese dot-release. Para esos clientes, puede ser necesario reconstruir el conjunto de activos.

Se ven afectadas todas las plataformas compatibles.

Todas las versiones de plataforma están afectadas.

Todas las versiones del Editor de Unity están afectadas.

Hemos lanzado un parche para todas las versiones soportadas oficialmente del Editor de Unity hasta 2020.2 Alpha. Todas las versiones futuras incluirán la actualización.

Unity lanzará un único parche para cada una de las versiones más actuales, es decir, la última actualización del Editor de Unity.

En estos momentos nos centramos en solucionar las vulnerabilidades identificadas en todas las versiones soportadas oficialmente hasta la 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity.

En estos momentos nos centramos en solucionar las vulnerabilidades identificadas en todas las versiones soportadas oficialmente hasta la 2020.2 Alpha. No tenemos previsto lanzar un parche para otras versiones de Unity

Es posible que tenga que reconstruir sus bundles si se reimportan algunos assets cuando abra por primera vez su proyecto en la versión parcheada del Editor de Unity.

Referencias