Détails de la faille
Identifiant CVE : CVE-2017-12939
Type : Exécution de code à distance
Découverte : 13/08/2017
Découverte par: Rio
Disponibilité des correctifs : 18/08/2017
Système d'exploitation concerné : Windows
Versions concernées : Toutes (Windows)
Gravité : Haute
Versions des correctifs :
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Remarque : La version Mac est fournie à titre gracieux pour les environnements d'équipe utilisant Windows et Mac. La version Mac n'est PAS concernée par la faille identifiée.
Si un correctif n'est pas disponible pour votre version, veuillez utiliser l'outil d'atténuation des risques [7] (Toutes les versions).
Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity et affecte la plateforme Windows, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.
Étapes de correction
Déterminez la version de votre éditeur Unity
Ouvrez un projet Unity.
La version Unity est visible dans le titre de la fenêtre principale.

Dans le menu Fichier choisissez Help -> ; About Unity.

La version Unity s'affiche dans la fenêtre About Unity.

Installez la mise à jour
Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails des failles ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.
Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -> ; Check for Updates.

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des faille et dans la section References.
Outil d'atténuation des risques
Si votre version de l'éditeur Unity n'est pas indiquée ou si vous ne pouvez pas installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation des risques [7].
Souvenez-vous que l'action recommandée est d'installer une version corrigée de l'éditeur Unity.
FAQ
Un problème de validation de chaîne d'entrée a été identifié, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.
Non. Seul l'éditeur Unity est concerné.
Seulement Windows. Les plateformes Mac et Linux ne sont pas concernées par la faille identifiée.
Toutes les versions de Windows.
Toutes les versions de l'éditeur Unity fonctionnant sous Windows.
Nous avons publié un correctif pour les versions de Unity suivantes : 5.3, 5.4, 5.5, 5.6 et 2017.1. Tous les détails sont indiqués sur cette page.
Nous ne corrigerons pas les versions 4.x, 5.0, 5.1 ou 5.2 de Unity.
Unity publiera un seul correctif pour chacune des versions les plus récentes de Unity. Par exemple, les utilisateurs exécutant une ancienne version de Unity 5.3 devront mettre à jour vers la version corrigée de 5.3.8. Il n'y aura pas de correctifs pour les versions 5.3.7, 5.3.6, etc.
Nous fournissons un outil de contournement qui désactive la fonctionnalité vulnérable identifiée de l'éditeur Unity et qui peut être téléchargé à partir du Guide de l'outil d'atténuation de risques [7]. Veuillez notez, cependant, que la solution de contournement n'est pas un correctif et a des limites. Le contournement désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec la dernière version de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.
Les mises à jour sont disponibles ici, dans la section Versions des correctifs.
L'outil de contournement peut être utilisé sur toutes les versions concernées de l'éditeur Unity. Veuillez noter cependant que le contournement n'est pas un correctif et qu'il a des limites : il désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec une version corrigée. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.
Non, en l'exécutant une fois, il désactive le composant identifié comme vulnérable sur chacune des versions. Souvenez-vous qu'en réinstallant ou en mettant à jour l'une des versions, le composant pourra être réactivé. Pour vérification, réexécutez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.
Le contournement désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec une version corrigée. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.
Les mises à jour sont disponibles ici, dans la section Versions des correctifs.
Nous nous concentrons actuellement sur la résolution de la vulnérabilité identifiée dans toutes les versions les plus récentes. Nous n'avons pas de détails supplémentaires à partager sur les correctifs relatifs à d'autres versions pour le moment.
Cela dépend de la version spécifique de Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.
Vous n'aurez certainement pas besoin de reconstruire votre groupe de ressources si vous utilisez actuellement les versions 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 ou 2017.1.0p3.
Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de Unity.