Detalhes da vulnerabilidade
ID de CVE: CVE-2019-9197
Tipo: execução remota de código
Detectada em: 15/11/2018
Detectada por: equipe de segurança rgod da 9sg - rgod@9sgsec.com trabalhando com Trend Micro’s Zero Day Initiative
Disponibilidade da correção: 04/03/2019
Sistema operacional afetado: Windows
Versões afetadas: todas (Windows)
Gravidade: alta
Versões da correção:
- [1] 2019.2.0a7 (Win), tamanho = 795.664 bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), tamanho = 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), tamanho = 570.279 kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), tamanho = 580.009 kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), tamanho = 527.486 kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), tamanho = 554.855 kB, md5=d761d8c151007ce2474ddc9d468abc02
Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.
Etapas de correção
Determine a versão do Unity Editor
Abra um projeto do Unity.
A versão do Unity está visível no título da janela principal.

No menu File, escolha Help > About Unity.

A versão do Unity é mostrada na janela About Unity.

Instale a atualização
Se a sua versão do Unity Editor não for uma das listadas nas versões de correção da seção Detalhes da vulnerabilidade acima, continue com a instalação da atualização da seguinte forma.
Para instalar a atualização, use o verificador de atualização do Unity Editor disponível no menu File, em Help > Check for Updates.

Além disso, você pode baixar e instalar o patch correspondente para a sua versão do Unity Editor. Os links para download estão disponíveis em Versões da correção na seção Detalhes da vulnerabilidade e na seção Referências.
Ferramenta de mitigação
Se a sua versão do Unity Editor não estiver listada, ou se não conseguir instalar a atualização neste momento, use o Guia da ferramenta de mitigação [7].
Lembre-se de que a ação recomendada é instalar uma versão corrigida do Unity Editor.
Perguntas frequentes
Foi identificado um problema de validação de string de entrada que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.
Não. Somente o Unity Editor é afetado.
Somente o Windows. As plataformas Mac e Linux não são afetadas pela vulnerabilidade identificada.
Todas as versões do Windows.
Todas as versões do Unity Editor executadas no Windows.
Nós lançamos uma correção para as versões mais recentes do Unity Editor 5.6 e todas as versões oficialmente compatíveis até o 2019.2 Alpha. Todas as versões futuras também vão contar com a atualização.
A Unity lançará uma correção única para todas as mais atuais, ou seja, a última atualização do Unity Editor.
Estamos fornecendo uma ferramenta de mitigação que desativa o recurso vulnerável identificado do Unity Editor, que pode ser baixada do Guia da ferramenta de mitigação [7].
Lembre-se de que a mitigação não é uma correção e tem limitações. A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.
A ferramenta de mitigação pode ser usada em todas as versões afetadas do Unity Editor.
Lembre-se de que a mitigação não é uma correção e tem limitações. A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.
Não. Ao executá-la uma vez, o componente identificado como vulnerável será desativado em todas elas. Esteja ciente de que uma reinstalação ou atualização de uma das versões pode reativar o componente. Para verificar, execute novamente a ferramenta alternativa até que todas as versões estejam atualizadas.
A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.
Nosso foco neste momento é abordar a vulnerabilidade identificada na versão 5.6 e em todas as versões oficialmente compatíveis até o 2019.2 Alpha. No momento não temos nenhum detalhe sobre correções para outras versões para compartilhar.
Depende da versão do Unity Editor que você está usando. A maioria dos clientes conseguirá atualizar para as versões corrigidas sem a necessidade de recompilar os pacotes, mas alguns clientes poderão perceber que os importadores de assets foram atualizados entre a versão que estão usando atualmente e a correção para esse lançamento pontual. Para esses clientes, poderá ser necessário recompilar pacotes de assets.
Talvez você precise recompilar seus pacotes se algum asset for importado novamente quando você abrir um projeto pela primeira vez na versão corrigida do Unity Editor.
Referências
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [6] 5.6.7f1 (Win)
- [7] Guia da ferramenta de mitigação
- [8] Ferramenta de mitigação