Aviso sobre a atualização de segurança de março de 2019 (CVE-2019-9197)

Detalhes da vulnerabilidade

ID de CVE: CVE-2019-9197

Tipo: execução remota de código

Detectada em: 15/11/2018

Detectada por: equipe de segurança rgod da 9sg - rgod@9sgsec.com trabalhando com Trend Micro’s Zero Day Initiative

Disponibilidade da correção: 04/03/2019

Sistema operacional afetado: Windows

Versões afetadas: todas (Windows)

Gravidade: alta

Versões da correção: 

  • [1] 2019.2.0a7 (Win), tamanho = 795.664 bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), tamanho = 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), tamanho = 570.279 kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), tamanho = 580.009 kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), tamanho = 527.486 kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), tamanho = 554.855 kB, md5=d761d8c151007ce2474ddc9d468abc02

Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.

Etapas de correção

Determine a versão do Unity Editor

Abra um projeto do Unity.

A versão do Unity está visível no título da janela principal.

Unity Editor exibindo uma versão do Unity

No menu File, escolha Help > About Unity.

Unity Editor com o menu suspenso Help

A versão do Unity é mostrada na janela About Unity.

Janela About Unity aberta no editor

Instale a atualização

Se a sua versão do Unity Editor não for uma das listadas nas versões de correção da seção Detalhes da vulnerabilidade acima, continue com a instalação da atualização da seguinte forma.

Para instalar a atualização, use o verificador de atualização do Unity Editor disponível no menu File, em Help > Check for Updates.

Check for Updates no Unity Editor

Além disso, você pode baixar e instalar o patch correspondente para a sua versão do Unity Editor. Os links para download estão disponíveis em Versões da correção na seção Detalhes da vulnerabilidade e na seção Referências.

Ferramenta de mitigação

Se a sua versão do Unity Editor não estiver listada, ou se não conseguir instalar a atualização neste momento, use o Guia da ferramenta de mitigação [7].

Lembre-se de que a ação recomendada é instalar uma versão corrigida do Unity Editor.

Perguntas frequentes

Que tipo de vulnerabilidade foi abordada nesta atualização?

Foi identificado um problema de validação de string de entrada que poderia gerar uma execução remota de código (RCE), permitindo que um invasor executasse código remotamente no computador do usuário.

Essa vulnerabilidade afeta jogos/aplicativos?

Não. Somente o Unity Editor é afetado.

Quais plataformas são afetadas?

Somente o Windows. As plataformas Mac e Linux não são afetadas pela vulnerabilidade identificada.

Quais versões do Windows são afetadas?

Todas as versões do Windows.

Quais versões do Unity são afetadas?

Todas as versões do Unity Editor executadas no Windows.

Quais versões do Unity Editor estão sendo corrigidas?

Nós lançamos uma correção para as versões mais recentes do Unity Editor 5.6 e todas as versões oficialmente compatíveis até o 2019.2 Alpha. Todas as versões futuras também vão contar com a atualização.

A minha versão específica será corrigida?

A Unity lançará uma correção única para todas as mais atuais, ou seja, a última atualização do Unity Editor.

E as versões anteriores à 5.6?

Estamos fornecendo uma ferramenta de mitigação que desativa o recurso vulnerável identificado do Unity Editor, que pode ser baixada do Guia da ferramenta de mitigação [7].

Lembre-se de que a mitigação não é uma correção e tem limitações. A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.

A ferramenta de mitigação funciona em versões mais novas do que a 5.6? Posso usar a ferramenta de mitigação em vez de aplicar a correção?

A ferramenta de mitigação pode ser usada em todas as versões afetadas do Unity Editor.

Lembre-se de que a mitigação não é uma correção e tem limitações. A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.

Eu uso várias versões do Unity. Preciso aplicar a ferramenta de mitigação em todas elas?

Não. Ao executá-la uma vez, o componente identificado como vulnerável será desativado em todas elas. Esteja ciente de que uma reinstalação ou atualização de uma das versões pode reativar o componente. Para verificar, execute novamente a ferramenta alternativa até que todas as versões estejam atualizadas.

Posso simplesmente usar a ferramenta de mitigação e nunca mudar para uma versão corrigida?

A mitigação desativará o recurso do Unity Editor identificado como vulnerável; mas, como não podemos controlar se a funcionalidade afetada será reativada em algum momento depois da aplicação da mitigação, recomendamos fortemente a atualização para uma versão corrigida do Unity Editor a fim de obter os benefícios da correção completa. Você também não poderá mais usar a funcionalidade “Abrir no Unity” na versão para navegador da Web da Asset Store depois de aplicar a mitigação.

Eu tenho uma versão bloqueada mais antiga do Unity 5.x.x. Vocês vão produzir uma correção para a versão exata do Unity que estou usando?

Nosso foco neste momento é abordar a vulnerabilidade identificada na versão 5.6 e em todas as versões oficialmente compatíveis até o 2019.2 Alpha. No momento não temos nenhum detalhe sobre correções para outras versões para compartilhar.

Vou precisar recompilar pacotes de assets por causa do requisito de atualização?

Depende da versão do Unity Editor que você está usando. A maioria dos clientes conseguirá atualizar para as versões corrigidas sem a necessidade de recompilar os pacotes, mas alguns clientes poderão perceber que os importadores de assets foram atualizados entre a versão que estão usando atualmente e a correção para esse lançamento pontual. Para esses clientes, poderá ser necessário recompilar pacotes de assets.

Como vou saber se precisarei recompilar meus pacotes de assets?

Talvez você precise recompilar seus pacotes se algum asset for importado novamente quando você abrir um projeto pela primeira vez na versão corrigida do Unity Editor.

Referências

Usamos cookies para garantir a melhor experiência no nosso site. Visite nossa página da política de cookies para obter mais informações.

Eu entendi