Actualización de seguridad de agosto de 2017 de Unity

Aviso de actualización de seguridad de agosto de 2017 (CVE-2017-12939)

Detalles de la vulnerabilidad

CVE ID: CVE-2017-12939

Tipo Ejecución remota de código

Fecha de descubrimiento: 3/10/2022 -USD 2017/08/13

Fecha de descubrimiento: Rio

Disponibilidad del parche: 30/1/2023 -USD 2017/08/18

Sistema operativo afectado: Windows

Versiones afectadas: Todo (Windows)

Gravedad: Alto

Versiones de parche:

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)

TEN EN CUENTA LO SIGUIENTE: La versión para Mac se proporciona como cortesía para entornos de equipo que usan Windows y Mac. La versión para Mac NO se ve afectada por la vulnerabilidad identificada.

Si un parche no está disponible para su versión, utilice la herramienta de mitigación [7] (Todas las versiones).

Se identificó un problema de validación de cadena de entrada en el Editor de Unity que afectaba a la plataforma Windows y que podría conducir a la Ejecución Remota de Código (RCE), lo que permitiría a un atacante ejecutar código de forma remota en el equipo del usuario.

Pasos de corrección

Determine la versión de su editor de Unity

Abre un proyecto Unity.

La versión de Unity es visible en el título de la ventana principal.

En el menú Archivo seleccione Ayuda -> Acerca de Unity.

La versión de Unity se muestra en la ventana Acerca de Unity.

Instalar actualización

Si su versión del Editor de Unity no es una de las enumeradas en las Versiones de parche de la sección Detalles de vulnerabilidades anterior, puede continuar con la instalación de la actualización de la siguiente manera.

Para instalar la actualización puede utilizar el comprobador de actualizaciones de Unity Editor disponible en el menú Archivo Ayuda -> Buscar actualizaciones.

Además, puede descargar e instalar el parche correspondiente para su versión del Editor de Unity. Los enlaces de descarga están disponibles en las versiones de parche de la sección Detalles de vulnerabilidades y en la sección Referencias.

Herramienta de mitigación

Si su versión del Editor de Unity no aparece en la lista o no puede instalar la actualización en este momento, puede utilizar la Guía de herramientas.

Tenga en cuenta que la acción recomendada es instalar una versión fija del Editor de Unity.

Preguntas frecuentes

¿Qué tipo de vulnerabilidad se abordó en esta actualización?

¿Afecta esta vulnerabilidad de alguna manera a los juegos/aplicaciones construidos?

¿Qué plataformas se ven afectadas?

¿Qué versiones de Windows se ven afectadas?

¿Qué versiones de Unity se ven afectadas?

¿Qué versiones del Editor de Unity se están parcheando?

¿Se parcheará mi versión específica?

¿Qué pasa con las versiones anteriores a 5.3?

¿Cuándo estará disponible el parche?

¿Funciona la herramienta de solución para versiones anteriores a 5.3? ¿Puedo usar la herramienta de solución alternativa en lugar de parchear?

Ejecuto varias versiones de Unity, ¿tengo que aplicar la herramienta de solución alternativa para todas ellas?

¿Puedo usar la solución alternativa y nunca pasar a una versión parcheada?

¿Cómo puedo obtener la solución (o los parches)?

Tengo una versión antigua bloqueada de Unity 5.x.x. ¿Vas a producir un parche para la versión exacta de Unity que estoy usando?

¿Tendré que reconstruir paquetes de activos debido al requisito de actualización?

¿Cómo puedo saber si necesitaré reconstruir mis paquetes de activos?

Referencias

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)
[7] Guía de herramientas