Note de mise à jour de sécurité pour août 2017 (CVE-2017-12939)
Détails de la faille
CVE ID: CVE-2017-12939
Type: Exécution de code à distance
Découverte : 03/10/2022 - 2017/08/13 USD
Découvert par : Rio
Disponibilité des correctifs : 30/01/2023 - 2017/08/18 USD
Système d'exploitation affecté: Windows
Versions concernées : Tous (Windows)
Sévérité : Haute
Versions des correctifs :
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Veuillez noter: La version Mac est fournie par courtoisie pour les environnements d'équipe utilisant Windows et Mac. La version Mac n'est PAS affectée par la vulnérabilité identifiée.
Si un correctif n'est pas disponible pour votre version, veuillez utiliser l'outil d'atténuation [7] (Toutes versions).
Un problème de validation de chaîne de saisie a été identifié dans l’éditeur Unity affectant la plate-forme Windows et pouvant conduire à l’exécution de code à distance (RCE), permettant à un attaquant d’exécuter potentiellement du code à distance dans l’ordinateur de l’utilisateur.
Étapes de correction
Déterminer la version de votre éditeur Unity
Ouvrez un projet Unity.
La version Unity est visible dans le titre de la fenêtre principale.
Dans le menu Fichier choisissez Aide -> À propos d'Unity.
La version Unity est affichée dans la fenêtre À propos d'Unity.
Installer la mise à jour
Si votre version de l'éditeur Unity ne figure pas dans la liste des versions correctrices de la section Détails des vulnérabilités ci-dessus, vous pouvez poursuivre l'installation de la mise à jour comme suit.
Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour Unity Editor disponible dans le menu Fichier Aide -> Rechercher les mises à jour.
En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions correctrices de la section Détails des vulnérabilités et dans la section Références.
Outil d'atténuation
Si votre version de l'éditeur Unity n'est pas répertoriée, ou si vous ne parvenez pas à installer la mise à jour pour le moment, vous pouvez utiliser le Guide des outils d'atténuation.
Veuillez garder à l'esprit l'action recommandée est d'installer une version fixe de l'éditeur Unity.
FAQ
Un problème de validation de chaîne d'entrée a été identifié qui pourrait conduire à l'exécution de code à distance (RCE), permettant à un attaquant d'exécuter potentiellement du code à distance dans l'ordinateur de l'utilisateur.
Non. Seul l'éditeur Unity est concerné.
Windows seulement. Les plateformes Mac et Linux ne sont pas affectées par la vulnérabilité identifiée.
Toutes les versions de Windows.
Toutes les versions de l'éditeur Unity fonctionnant sous Windows.
Nous avons publié un correctif pour les versions Unity suivantes: 5.3, 5.4, 5.5, 5.6 et 2017.1. Tous les détails sont listés sur cette page.
Nous ne patcherons pas Unity 4.x, 5.0, 5.1 ou 5.2.
Unity publiera un seul patch pour chacune des versions les plus récentes de Unity. Par exemple, les utilisateurs exécutant une ancienne version d'Unity 5.3 devront effectuer une mise à jour vers la version corrigée de 5.3.8. Il n'y aura pas de correctifs pour 5.3.7, 5.3.6, etc.
Nous fournissons un outil de contournement qui désactive la fonctionnalité Unity Editor vulnérable identifiée, qui peut être téléchargée à partir du Guide des outils d'atténuation [7]. Veuillez comprendre, cependant, que la solution de contournement n'est pas un patch et a des limites. La solution de contournement désactivera la fonctionnalité Unity Editor identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l’application de la solution de contournement (modifications du système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers la dernière version d’Unity pour bénéficier des avantages du correctif complet. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.
Les mises à jour sont disponibles ici, dans la section Versions des correctifs.
L'outil de contournement peut être utilisé sur toutes les versions affectées d'Unity. Veuillez cependant comprendre que la solution de contournement n'est pas un correctif et a des limites : la solution de contournement désactivera les fonctionnalités de l'éditeur vulnérables identifiées, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée est réactivée à un moment donné après l'application de la solution de contournement (changements de système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers une version patchée. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.
Non, en l'exécutant une fois qu'il a désactivé le composant vulnérable identifié sur chacun d'eux. Gardez à l'esprit qu'en réinstallant ou en mettant à jour (une) des versions, il peut activer à nouveau le composant. Pour vérifier, relancez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.
La solution de contournement désactivera la fonctionnalité Unity Editor identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l’application de la solution de contournement (modifications du système, réinstallations, etc.), nous vous recommandons fortement de mettre à jour vers une version corrigée. Vous ne pourrez plus non plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version navigateur web de l’Asset Store après avoir appliqué la solution de contournement.
Les mises à jour sont disponibles ici, dans la section Versions des correctifs.
Nous nous concentrons actuellement sur la correction de la vulnérabilité identifiée dans la version la plus récente de chaque publication de points. Nous n’avons pas de détails à partager sur les correctifs pour les autres versions pour le moment.
Cela dépend de la version spécifique d'Unity que vous utilisez. La plupart des clients seront en mesure de mettre à jour vers les versions corrigées sans avoir besoin de reconstruire leurs bundles, mais certains clients peuvent trouver que les importateurs d'actifs ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette publication de points. Pour ces clients, la reconstitution de groupe d'actifs peut être nécessaire.
Vous n’aurez certainement pas besoin de reconstruire des bundles si vous utilisez actuellement 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 ou 2017.1.0p3.
Vous devrez peut-être reconstruire vos bundles si des ressources sont réimportées lors de la première ouverture de votre projet dans la version corrigée d'Unity.