脆弱性の詳細
CVE ID: CVE-2019-9197
タイプ: リモートコード実行
発見日: 2018/11/15
発見者: Trend Micro の Zero Day Initiative と共同で作業する 9sg セキュリティチームの rgod - rgod@9sgsec.com
パッチの提供開始日: 2019/03/04
影響を受けるオペレーティングシステム: Windows
影響を受けるバージョン: すべて(Windows)
重大度: 高い
パッチのバージョン:
- [1] 2019.2.0a7(Win)、サイズ = 795,664 バイト、 md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5(Win)、サイズ = 696,212 kB、md5:d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1(Win)、サイズ = 570,279kB、md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1(Win)、サイズ = 580,009kB、md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1(Win)、サイズ = 527,486kB、md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1(Win)、サイズ = 554,855kB、md5=d761d8c151007ce2474ddc9d468abc02
Unity エディターで入力文字列検証の問題が確認されました。これは Windows プラットフォームに影響を与えるもので、リモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。
修正手順
Unity エディターのバージョンを確認する
Unity プロジェクトを開きます。
Unity のバージョンはメインウィンドウのタイトルに表示されます。

メニューから「Help -> About Unity」を選択します。

「About Unity」ウィンドウに Unity のバージョンが表示されます。

アップデートをインストールする
Unity エディターのバージョンが上記の「脆弱性の詳細」セクションの「パッチのバージョン」にリストされているもののいずれかではない場合は、以下の手順でアップデートのインストールを続行できます。
アップデートをインストールするには、メニューから「Help -> Check for Updates」を選択して、Unity エディターのアップデートチェッカーを使用できます。

Mitigation Tool
ご使用の Unity エディターのバージョンがリストにない場合、または現時点でアップデートをインストールできない場合は、Mitigation Tool ガイド [7] を使用できます。
推奨されるアクションは、Unity エディターの修正バージョンをインストールすることです。
FAQ
入力文字列検証の問題が確認されました。これはリモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。
いいえ。影響を受けるのは Unity エディターのみです。
Windows のみです。Mac および Linux プラットフォームは、確認された脆弱性の影響を受けません。
Windows のすべてのバージョンです。
Windows で実行されている Unity エディターのすべてのバージョンです。
5.6 の最新バージョンの Unity エディターと、公式にサポートされているすべてのバージョンの Unity エディター(2019.2 Alpha まで)を対象にパッチをリリースしました。今後のすべてのバージョンにも、このアップデートは含まれます。
Unity では、最新バージョン、つまり Unity エディターの最新アップデートのそれぞれに対して、単一のパッチをリリースする予定です。
Unity エディターで確認された脆弱な機能を無効にする Mitigation Tool を提供しています。これは Mitigation Tool ガイド [7] からダウンロードできます。
この緩和策はパッチではありません。制限事項があることを考慮に入れてください。この緩和策は、脆弱であると確認された Unity エディター機能を無効にするものですが、緩和策を適用した後のある時点で、影響を受ける機能が再度有効になるかどうかは制御することができないため、Unity エディターの修正バージョンに更新して、完全なパッチが適用された状態にすることを強くお勧めします。また、緩和策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
Mitigation Tool は、影響を受けるすべてのバージョンの Unity エディターで使用できます。
この緩和策はパッチではありません。制限事項があることを考慮に入れてください。この緩和策は、脆弱であると確認された Unity エディター機能を無効にするものですが、緩和策を適用した後のある時点で、影響を受ける機能が再度有効になるかどうかは制御することができないため、Unity エディターの修正バージョンに更新して、完全なパッチが適用された状態にすることを強くお勧めします。また、緩和策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
いいえ、1 回実行すれば、確認された脆弱なコンポーネントがすべてのバージョンで非アクティブ化されます。なお、(いずれかの)バージョンを再インストールまたは更新すると、コンポーネントが再度アクティベートされる可能性があることに注意してください。確認するには、すべてのバージョンが最新になるまで回避策ツールを再実行します。
この緩和策は、脆弱であると確認された Unity エディター機能を無効にするものですが、緩和策を適用した後のある時点で、影響を受ける機能が再度有効になるかどうかは制御することができないため、Unity エディターの修正バージョンに更新して、完全なパッチが適用された状態にすることを強くお勧めします。また、緩和策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
現在の目的は、5.6、および公式にサポートされているすべてのバージョン(2019.2 Alpha まで)で、確認された脆弱性に対処することです。現時点では、他のバージョン用のパッチに関する詳細情報はありません。
使用している Unity エディターのバージョンによって異なります。ほとんどのお客様は、バンドルを再ビルドしなくてもパッチ適用後のバージョンに更新できますが、一部のお客様は、現在使用しているバージョンとそのドットリリース用のパッチとの間で、アセットインポーターが更新されていることに気付く場合があります。それらのお客様については、アセットバンドルの再ビルドが必要になる場合があります。
パッチ適用後のバージョンの Unity エディターでプロジェクトを最初に開くときに再インポートされるアセットがある場合は、バンドルを再ビルドする必要がある場合があります。
参照情報
- [1] 2019.2.0a7(Win)
- [2] 2019.1.0b5(Win)
- [3] 2018.3.7f1(Win)
- [4] 2018.2.21f1(Win)
- [5] 2017.4.22f1(Win)
- [6] 5.6.7f1(Win)
- [7] Mitigation Tool ガイド
- [8] Mitigation Tool