脆弱性の詳細
CVE ID: CVE-2017-12939
タイプ: リモートコード実行
発見日: 2017/08/13
発見者: Rio
パッチの提供開始日: 2017/08/18
影響を受けるオペレーティングシステム: Windows
影響を受けるバージョン: すべて(Windows)
重大度: 高い
パッチのバージョン:
- [1] 5.3.8p2(Win)(Mac)
- [2] 5.4.5p5(Win)(Mac)
- [3] 5.5.4p3(Win)(Mac)
- [4] 5.6.3p1(Win)(Mac)
- [5] 2017.1.0p4(Win)(Mac)
- [6] 2017.2.0b8(Win)(Mac)
注意:Mac バージョンは、Windows と Mac を使用しているチーム環境のために提供されているものです。Mac バージョンは、確認された脆弱性の影響を受けません。
お使いのバージョンに対応したパッチが提供されていない場合は、Mitigation Tool [7](すべてのバージョン)を使用してください。
Unity エディターで入力文字列検証の問題が確認されました。これは Windows プラットフォームに影響を与えるもので、リモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。
修正手順
Unity エディターのバージョンを確認する
Unity プロジェクトを開きます。
Unity のバージョンはメインウィンドウのタイトルに表示されます。

メニューから「Help -> About Unity」を選択します。

「About Unity」ウィンドウに Unity のバージョンが表示されます。

アップデートをインストールする
Unity エディターのバージョンが上記の「脆弱性の詳細」セクションの「パッチのバージョン」にリストされているもののいずれかではない場合は、以下の手順でアップデートのインストールを続行できます。
アップデートをインストールするには、メニューから「Help -> Check for Updates」を選択して、Unity エディターのアップデートチェッカーを使用できます。

Mitigation Tool
ご使用の Unity エディターのバージョンがリストにない場合、または現時点でアップデートをインストールできない場合は、Mitigation Tool ガイド [7] を使用できます。
推奨されるアクションは、Unity エディターの修正バージョンをインストールすることです。
FAQ
入力文字列検証の問題が確認されました。これはリモートコード実行(RCE)につながる可能性があります。これにより、攻撃者はユーザーのコンピューターでコードをリモートで実行できる可能性があります。
いいえ。影響を受けるのは Unity エディターのみです。
Windows のみです。Mac および Linux プラットフォームは、確認された脆弱性の影響を受けません。
Windows のすべてのバージョンです。
Windows で実行されている Unity エディターのすべてのバージョンです。
次の Unity バージョン用のパッチをリリースしました:5.3、5.4、5.5、5.6、および 2017.1。詳細はこのページに記載されています。
Unity 4.x、5.0、5.1、5.2 については、パッチを適用する予定はありません。
Unity では、Unity の最新のドットリリースのそれぞれに対して、単一のパッチをリリースする予定です。たとえば、旧バージョンの Unity 5.3 を実行しているユーザーは、パッチ適用後のバージョンである 5.3.8 に更新する必要があります。5.3.7、5.3.6 などに対してパッチが提供される予定はありません。
確認された脆弱な Unity エディター機能を無効にする回避策ツールを提供しています。これは Mitigation Tool ガイド [7] からダウンロードできます。ただし、回避策はパッチではなく、制限実行があることをご理解ください。この回避策は、脆弱であると確認された Unity エディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、Unity の最新バージョンに更新して、完全なパッチが適用された状態にすることを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
アップデートは、このページの「パッチのバージョン」セクションから入手できます。
回避策ツールは、影響を受けるすべてのバージョンの Unity で使用できます。ただし、回避策はパッチではなく、制限実行があることをご理解ください。この回避策は、確認された脆弱なエディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、パッチ適用後のバージョンに更新することを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
いいえ、1 回実行すれば、確認された脆弱なコンポーネントがすべてのバージョンで非アクティブ化されます。なお、(いずれかの)バージョンを再インストールまたは更新すると、コンポーネントが再度アクティベートされる可能性があることに注意してください。確認するには、すべてのバージョンが最新になるまで回避策ツールを再実行します。
この回避策は、脆弱であると確認された Unity エディター機能を無効にするものですが、回避策を適用した後のある時点(システム変更、再インストールなど)で、影響を受ける機能が再度有効になるかどうかは制御することができないため、パッチ適用後のバージョンに更新することを強くお勧めします。また、回避策を適用した後には、アセットストアのウェブブラウザーバージョンで「Unity で開く」機能を使用できなくなります。
アップデートは、このページの「パッチのバージョン」セクションから入手できます。
現在の目的は、各ドットリリースの最新バージョンで、確認された脆弱性に対処することです。現時点では、他のバージョン用のパッチに関する詳細情報はありません。
使用している Unity のバージョンによって異なります。ほとんどのお客様は、バンドルを再ビルドしなくてもパッチ適用後のバージョンに更新できますが、一部のお客様は、現在使用しているバージョンとそのドットリリース用のパッチとの間で、アセットインポーターが更新されていることに気付く場合があります。それらのお客様については、アセットバンドルの再ビルドが必要になる場合があります。
現在、5.3.8p1、5.4.5p4、5.5.4p2、5.6.3f1、または 2017.1.0p3 を使用している場合は、バンドルを再ビルドする必要はありません。
パッチ適用後のバージョンの Unity でプロジェクトを最初に開くときに再インポートされるアセットがある場合は、バンドルを再ビルドする必要がある場合があります。