Note de mise à jour de sécurité d'août 2017 (CVE-2017-12939)

Détails de la faille

Identifiant CVE : CVE-2017-12939

Type : Exécution de code à distance

Découverte : 13/08/2017

Découverte par: Rio

Disponibilité des correctifs : 18/08/2017

Système d'exploitation concerné : Windows

Versions concernées : Toutes (Windows)

Gravité : Haute

Versions des correctifs :

Remarque : La version Mac est fournie à titre gracieux pour les environnements d'équipe utilisant Windows et Mac. La version Mac n'est PAS concernée par la faille identifiée.

Si un correctif n'est pas disponible pour votre version, veuillez utiliser l'outil d'atténuation des risques [7] (Toutes les versions).

Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity et affecte la plateforme Windows, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Étapes de correction

Déterminez la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Éditeur Unity affichant la version d'Unity

Dans le menu Fichier choisissez Help -&gt ; About Unity.

Éditeur Unity avec menu déroulant d'aide

La version Unity s'affiche dans la fenêtre About Unity.

À propos de la fenêtre Unity ouverte dans l'éditeur

Installez la mise à jour

Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails des failles ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -&gt ; Check for Updates.

Rechercher les mises à jour dans l'éditeur Unity

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des faille et dans la section References.

Outil d'atténuation des risques

Si votre version de l'éditeur Unity n'est pas indiquée ou si vous ne pouvez pas installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation des risques [7].

Souvenez-vous que l'action recommandée est d'installer une version corrigée de l'éditeur Unity.

FAQ

Quels types de faille ont été corrigés dans cette mise à jour ?

Un problème de validation de chaîne d'entrée a été identifié, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Cette faille affecte-t-elle les jeux/applications compilés de quelque manière que ce soit ?

Non. Seul l'éditeur Unity est concerné.

Quelles plateformes sont concernées ?

Seulement Windows. Les plateformes Mac et Linux ne sont pas concernées par la faille identifiée.

Quelles versions de Windows sont concernées ?

Toutes les versions de Windows.

Quelles sont les versions concernées de Unity ?

Toutes les versions de l'éditeur Unity fonctionnant sous Windows.

Quelles sont les versions corrigées de l'éditeur Unity ?

Nous avons publié un correctif pour les versions de Unity suivantes : 5.3, 5.4, 5.5, 5.6 et 2017.1. Tous les détails sont indiqués sur cette page.

Nous ne corrigerons pas les versions 4.x, 5.0, 5.1 ou 5.2 de Unity.

Ma version spécifique sera-t-elle corrigée ?

Unity publiera un seul correctif pour chacune des versions les plus récentes de Unity. Par exemple, les utilisateurs exécutant une ancienne version de Unity 5.3 devront mettre à jour vers la version corrigée de 5.3.8. Il n'y aura pas de correctifs pour les versions 5.3.7, 5.3.6, etc.

Qu'en est-il des versions antérieures à la 5.3 ?

Nous fournissons un outil de contournement qui désactive la fonctionnalité vulnérable identifiée de l'éditeur Unity et qui peut être téléchargé à partir du Guide de l'outil d'atténuation de risques [7]. Veuillez notez, cependant, que la solution de contournement n'est pas un correctif et a des limites. Le contournement désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec la dernière version de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.

Quand le patch sera-t-il disponible ?

Les mises à jour sont disponibles ici, dans la section Versions des correctifs.

L'outil de contournement fonctionne-t-il pour les versions plus récentes que la 5.3 ? Puis-je utiliser l'outil de contournement au lieu d'appliquer des correctifs ?

L'outil de contournement peut être utilisé sur toutes les versions concernées de l'éditeur Unity. Veuillez noter cependant que le contournement n'est pas un correctif et qu'il a des limites : il désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec une version corrigée. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.

J'exécute plusieurs versions de Unity, dois-je appliquer l'outil de contournement à chacune d'entre elles ?

Non, en l'exécutant une fois, il désactive le composant identifié comme vulnérable sur chacune des versions. Souvenez-vous qu'en réinstallant ou en mettant à jour l'une des versions, le composant pourra être réactivé. Pour vérification, réexécutez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.

Puis-je utiliser seulement l'outil de contournement et ne jamais passer à une version corrigée ?

Le contournement désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après le contournement (modifications du système, réinstallations, etc.), nous vous recommandons vivement de mettre à jour votre système avec une version corrigée. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué le contournement.

Comment puis-je obtenir la solution de contournement (ou les correctifs) ?

Les mises à jour sont disponibles ici, dans la section Versions des correctifs.

J'ai une ancienne version verrouillée de Unity 5.x.x. Allez-vous fournir un patch pour cette version précise de Unity que j'utilise ?

Nous nous concentrons actuellement sur la résolution de la vulnérabilité identifiée dans toutes les versions les plus récentes. Nous n'avons pas de détails supplémentaires à partager sur les correctifs relatifs à d'autres versions pour le moment.

Faudra-t-il recompiler l'ensemble de mes ressources suite à la demande de mise à jour ?

Cela dépend de la version spécifique de Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.

Vous n'aurez certainement pas besoin de reconstruire votre groupe de ressources si vous utilisez actuellement les versions 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 ou 2017.1.0p3.

Comment savoir si je dois recompiler les ensembles de mes ressources ?

Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de Unity.

Références

Ce site utilise des cookies dans le but de vous offrir la meilleure expérience possible. Consultez notre politique de cookies pour en savoir plus.

Compris