Détails de la faille
Identifiant CVE : CVE-2020-12630, CVE-2020-12631
Type : Déni de service
Découverte : 31/01/2020
Découverte par : Jack Baker
Disponibilité des correctifs : 19/05/2020
Système d'exploitation concerné : Toutes les plateformes compatibles
Versions concernées : Toutes
Gravité : Haute
Versions des correctifs :
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
Deux problèmes de mémoire hors limites ont été identifiés dans les fonctionnalités Unity Multiplayer et Networking UNET et affectent les jeux et les applications compilés avec l'éditeur Unity à l'aide de UNET. Ces problèmes pourraient conduire à un déni de service (DoS), permettant à un cybercriminel de faire crasher le processus Unity et potentiellement le jeu ou l'application.
Étapes de correction
Déterminez la version de votre éditeur Unity
Ouvrez un projet Unity.
La version Unity est visible dans le titre de la fenêtre principale.

Installez la mise à jour
Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails de la faille ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.
Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -> ; Check for Updates.

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails de la faille et dans la section References.
Créez et déployez
Une fois l'éditeur Unity mis à jour, vous pouvez continuer à créer une nouvelle compilation de votre jeu ou de votre application et déployer la nouvelle version corrigée.
FAQ
Deux problèmes de mémoire hors limites ont été identifiés et pourraient conduire à un déni de service (DoS), permettant à un cybercriminel de faire crasher le processus Unity et potentiellement le jeu ou l'application.
Oui. Les jeux et applications créés avec l'éditeur Unity à l'aide des fonctionnalités Unity Multiplayer et de Networking UNET sont affectés.
Seule la fonctionnalité UNET est affectée par les failles identifiées.
Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.
Toutes les plateformes compatibles sont concernées.
Toutes les versions de plateforme sont concernées.
Toutes les versions de l'éditeur Unity sont concernées.
Nous avons publié un correctif pour toutes les versions officiellement compatibles de l'éditeur Unity jusqu'à la version Alpha 2020.2. La mise à jour sera intégrée à toutes les versions futures.
Unity publiera un seul correctif pour chacune des versions les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.
Nous nous concentrons actuellement sur la correction des failles identifiées dans toutes les versions officiellement compatibles jusqu'à la version Alpha 2020.2. Nous ne prévoyons pas de publier un correctif pour d'autres versions de Unity.
Nous nous concentrons actuellement sur la correction des failles identifiées dans toutes les versions officiellement compatibles jusqu'à la version Alpha 2020.2. Nous ne prévoyons pas de publier un correctif pour d'autres versions de Unity
Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de l'éditeur Unity.
Références
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9