취약점 세부 정보
CVE ID: CVE-2019-9197
유형: 원격 코드 실행
발견 일자: 2018/11/15
발견자: Trend Micro의 Zero Day Initiative와 협업하는 rgod of 9sg 보안 팀 - rgod@9sgsec.com
패치 가능 일자: 2019/03/04
영향을 받는 운영체제: Windows
영향을 받는 버전: 모든 버전(Windows)
심각도: 높음
패치 버전:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
Unity 에디터에서 발견된 입력 문자열 확인 문제는 Windows 플랫폼에 영향을 미쳐 원격 코드 실행(RCE)으로 이어질 수 있으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.
문제 해결 단계
Unity 에디터 버전 확인
Unity 프로젝트를 엽니다.
Unity 버전은 메인 창 제목에 표시됩니다.

File 메뉴에서 Help > About Unity를 선택합니다.

Unity 버전은 About Unity 창에 표시됩니다.

업데이트 설치
사용 중인 Unity 에디터 버전이 위의 취약점 세부 정보 패치 버전 섹션에 나열되지 않은 경우 다음과 같이 업데이트를 설치할 수 있습니다.
업데이트를 설치하려면 File 메뉴의 Help > Check for Updates에서 사용 가능한 Unity 에디터 업데이트를 확인할 수 있습니다.

완화 툴
사용 중인 Unity 에디터 버전이 목록에 없거나, 현재 업데이트를 설치할 수 없는 경우, 완화 툴 가이드[7]를 활용할 수 있습니다.
그러나 수정된 버전의 Unity 에디터를 설치할 것을 권장합니다.
FAQ
원격 코드 실행(RCE)으로 이어질 수 있는 입력 문자열 확인 문제가 발견되었으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.
아니요. Unity 에디터만 영향을 받습니다.
Windows만 영향을 받습니다. Mac 및 Linux 플랫폼은 발견된 취약점의 영향을 받지 않습니다.
모든 버전의 Windows가 영향을 받습니다.
Windows에서 실행되는 모든 버전의 Unity 에디터가 영향을 받습니다.
Unity 에디터 최신 버전 5.6 및 2019.2 알파 이전의 공식적으로 지원되는 모든 버전에 대해 패치를 릴리스했습니다. 향후 모든 버전에도 해당 업데이트가 포함됩니다.
유니티는 Unity 에디터의 최신 업데이트, 즉 마지막 업데이트마다 단일 패치를 릴리스할 예정입니다.
유니티는 Unity 에디터에서 발견된 취약 기능을 비활성화하는 완화 툴을 제공하며, 이는 완화 툴 가이드[7]에서 다운로드할 수 있습니다.
완화는 패치가 아니며 한계가 있다는 점을 고려해 주시기 바랍니다. 완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
완화 툴은 영향을 받는 모든 버전의 Unity 에디터에서 사용할 수 있습니다.
완화는 패치가 아니며 한계가 있다는 점을 고려해 주시기 바랍니다. 완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
아니요, 한 번만 실행하면 모든 버전에서 발견된 취약한 요소가 비활성화됩니다. 다만, 버전 중 하나를 재설치하거나 업데이트하면 해당 요소가 다시 활성화될 수 있다는 점을 유의하세요. 이를 방지하려면 모든 버전이 최신 상태가 될 때까지 차선책 툴을 재실행하세요.
완화 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 완화 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로, 완전 패치의 이점을 누리려면 Unity 에디터의 수정 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 완화를 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
유니티는 5.6 및 2019.2 알파 이전의 공식적으로 지원되는 모든 버전에서 발견된 취약점을 해결하는 데 주력하고 있습니다. 현재로서는 기타 버전 패치에 관하여 밝힐 세부 정보가 없습니다.
사용 중인 Unity 에디터의 버전에 따라 다릅니다. 대부분 고객은 번들을 재구성할 필요 없이 패치된 버전으로 업데이트할 수 있지만, 일부 고객의 경우 현재 사용 중인 버전에서 부 릴리스용 패치로 에셋 임포터가 업데이트되었습니다. 해당 고객의 경우 에셋 번들을 재구성해야 할 수도 있습니다.
패치된 Unity 에디터 버전에서 프로젝트를 처음 열 때 에셋이 다시 임포트되는 경우 번들을 재구성해야 할 수 있습니다.