Un problème de validation de chaîne d'entrée a été identifié qui pourrait conduire à l'exécution de code à distance (RCE), permettant à un attaquant d'exécuter potentiellement du code à distance dans l'ordinateur de l'utilisateur.

Non. Seul l'éditeur Unity est concerné.

Windows seulement. Les plateformes Mac et Linux ne sont pas affectées par la vulnérabilité identifiée.

Toutes les versions de Windows.

Toutes les versions de l'éditeur Unity fonctionnant sous Windows.

Nous avons publié un correctif pour les versions Unity suivantes: 5.3, 5.4, 5.5, 5.6 et 2017.1. Tous les détails sont listés sur cette page.

Nous ne patcherons pas Unity 4.x, 5.0, 5.1 ou 5.2.

Unity publiera un seul patch pour chacune des versions les plus récentes de Unity. Par exemple, les utilisateurs exécutant une ancienne version d'Unity 5.3 devront effectuer une mise à jour vers la version corrigée de 5.3.8. Il n'y aura pas de correctifs pour 5.3.7, 5.3.6, etc.

Nous fournissons un outil de contournement qui désactive la fonctionnalité Unity Editor vulnérable identifiée, qui peut être téléchargée à partir du Guide des outils d'atténuation [7]. Veuillez comprendre, cependant, que la solution de contournement n'est pas un patch et a des limites. La solution de contournement désactivera la fonctionnalité Unity Editor identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l’application de la solution de contournement (modifications du système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers la dernière version d’Unity pour bénéficier des avantages du correctif complet. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.

Les mises à jour sont disponibles ici, dans la section Versions des correctifs.

L'outil de contournement peut être utilisé sur toutes les versions affectées d'Unity. Veuillez cependant comprendre que la solution de contournement n'est pas un correctif et a des limites : la solution de contournement désactivera les fonctionnalités de l'éditeur vulnérables identifiées, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée est réactivée à un moment donné après l'application de la solution de contournement (changements de système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers une version patchée. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.

Non, en l'exécutant une fois qu'il a désactivé le composant vulnérable identifié sur chacun d'eux. Gardez à l'esprit qu'en réinstallant ou en mettant à jour (une) des versions, il peut activer à nouveau le composant. Pour vérifier, relancez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.

La solution de contournement désactivera la fonctionnalité Unity Editor identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l’application de la solution de contournement (modifications du système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers une version corrigée. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.

Les mises à jour sont disponibles ici, dans la section Versions des correctifs.

Nous nous concentrons actuellement sur la correction de la vulnérabilité identifiée dans la version la plus récente de chaque publication de points. Nous n’avons pas de détails à partager sur les correctifs pour les autres versions pour le moment.

Cela dépend de la version spécifique d'Unity que vous utilisez. La plupart des clients seront en mesure de mettre à jour vers les versions corrigées sans avoir besoin de reconstruire leurs bundles, mais certains clients peuvent trouver que les importateurs d'actifs ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette publication de points. Pour ces clients, la reconstitution de groupe d'actifs peut être nécessaire.

Vous n’aurez certainement pas besoin de reconstruire des bundles si vous utilisez actuellement 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 ou 2017.1.0p3.

Vous devrez peut-être reconstruire vos bundles si des ressources sont réimportées lors de la première ouverture de votre projet dans la version corrigée d'Unity.