Détails de la faille
Identifiant CVE : CVE-2019-9197
Type : Exécution de code à distance
Découverte : 15/11/2018
Découverte par : rgod de l'équipe de sécurité 9sg - rgod@9sgsec.com travailler avec Trend Micro's Zero Day Initiative
Disponibilité des correctifs : 04/03/2019
Système d'exploitation concerné : Windows
Versions concernées : Toutes (Windows)
Gravité : Haute
Versions des correctifs :
- [1] 2019.2.0a7 (Win), taille = 795,664octets, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), taille = 696,212 kO, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), taille = 570,279kO, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), taille = 580,009kO, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), taille = 527,486kO, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), taille = 554,855kO, md5=d761d8c151007ce2474ddc9d468abc02
Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity et affecte la plateforme Windows, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.
Étapes de correction
Déterminez la version de votre éditeur Unity
Ouvrez un projet Unity.
La version Unity est visible dans le titre de la fenêtre principale.

Dans le menu Fichier choisissez Help -> ; About Unity.

La version Unity s'affiche dans la fenêtre About Unity.

Installez la mise à jour
Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails des failles ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.
Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -> ; Check for Updates.

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des faille et dans la section References.
Outil d'atténuation des risques
Si votre version de l'éditeur Unity n'est pas indiquée ou si vous ne pouvez pas installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation des risques [7].
Souvenez-vous que l'action recommandée est d'installer une version corrigée de l'éditeur Unity.
FAQ
Un problème de validation de chaîne d'entrée a été identifié, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.
Non. Seul l'éditeur Unity est concerné.
Seulement Windows. Les plateformes Mac et Linux ne sont pas concernées par la faille identifiée.
Toutes les versions de Windows.
Toutes les versions de l'éditeur Unity fonctionnant sous Windows.
Nous avons publié un correctif pour toutes les dernières versions de l'éditeur Unity 5.6 et toutes les versions officiellement compatibles jusqu'à la version 2019.2 Alpha. La mise à jour sera intégrée à toutes les versions futures.
Unity publiera un seul correctif pour chacune des versions les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.
Nous fournissons un outil d'atténuation de risques qui désactive la fonctionnalité vulnérable identifiée de l'éditeur Unity et qui peut être téléchargé à partir du Guide de l'outil d'atténuation de risques [7].
Veuillez prendre en compte que l'atténuation de risques n'est pas un correctif et a des limites. L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.
L'outil d'atténuation de risques peut être utilisé sur toutes les versions concernées de l'éditeur Unity.
Veuillez prendre en compte que l'atténuation de risques n'est pas un correctif et a des limites. L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.
Non, en l'exécutant une fois, il désactive le composant identifié comme vulnérable sur chacune des versions. Souvenez-vous qu'en réinstallant ou en mettant à jour l'une des versions, le composant pourra être réactivé. Pour vérification, réexécutez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.
L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.
Nous nous concentrons actuellement sur la correction de la failles identifiée dans la version 5.6 et dans toutes les versions officiellement compatibles jusqu'à la version 2019.2 Alpha. Nous n'avons pas de détails supplémentaires à partager sur les correctifs pour d'autres versions pour le moment.
Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.
Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de l'éditeur Unity.
Références
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [6] 5.6.7f1 (Win)
- [7] Guide de l'outil d'atténuation des risques
- [8] Outil d'atténuation des risques