Comunicado de atualização de segurança de maio de 2020 (CVE-2020-12630, CVE-2020-12631)
Detalhes da vulnerabilidade
ID DA CAVERNA: CVE-2020-12630, CVE-2020-12631
Tipo Negação de serviço
Detectada em: 03/10/2022 2020/01/31
Descoberto por: Jack Baker
Disponibilidade da correção: 30/01/2023 2020/05/19
Sistema operacional afetado: Todas as plataformas suportadas
Versões afetadas: Tudo
Severidade: Alto
Versões da correção:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
Dois problemas de memória fora dos limites foram identificados no recurso Unity Multiplayer and Networking UNET que afeta jogos e aplicativos criados com o Unity Editor usando o UNET. Esses problemas podem levar à negação de serviço (DoS), permitindo que um invasor interrompa o processo do Unity e, potencialmente, o jogo ou o aplicativo.
Etapas de correção
Determine a versão do seu Unity Editor
Abra um projeto Unity.
A versão Unity está visível no título da janela principal.
Instalar atualização
Se sua versão do Unity Editor não for uma das versões de patch listadas na seção Detalhes da vulnerabilidade acima, você poderá continuar com a instalação da atualização da seguinte forma.
Para instalar a atualização, você pode usar o verificador de atualização do Unity Editor disponível no menu Arquivo Ajuda -> Verificar atualizações.
Além disso, você pode baixar e instalar o patch correspondente para sua versão do Unity Editor. Os links para download estão disponíveis nas versões de patch da seção Detalhes da vulnerabilidade e na seção Referências.
Crie e implante
Depois de atualizar o Unity Editor, você pode prosseguir com a criação de uma nova versão do seu jogo ou aplicativo e implantar a nova versão fixa.
Perguntas frequentes
Foram identificados dois problemas de memória fora dos limites que poderiam levar à negação de serviço (DoS), permitindo que um invasor travasse o processo Unity e, potencialmente, o jogo ou aplicativo.
Sim. Jogos e aplicativos criados com o Unity Editor usando o recurso Unity Multiplayer and Networking UNET são afetados.
Somente o Unity UNET é afetado pelas vulnerabilidades identificadas.
Depende da versão específica do Unity Editor que você está usando. A maioria dos clientes poderá atualizar para as versões corrigidas sem precisar reconstruir seus pacotes, mas alguns clientes podem descobrir que os importadores de ativos foram atualizados entre a versão que estão usando atualmente e o patch para essa versão pontual. Para esses clientes, a reconstrução do pacote de ativos pode ser necessária.
Todas as plataformas suportadas são afetadas.
Todas as versões da plataforma são afetadas.
Todas as versões do Unity Editor são afetadas.
Lançamos um patch para todas as versões oficialmente suportadas do Unity Editor até 2020.2 Alpha. Todas as versões futuras também vão contar com a atualização.
O Unity lançará um único patch para cada uma das versões mais atuais, ou seja, a última atualização do Unity Editor.
Nosso foco agora é resolver as vulnerabilidades identificadas em todas as versões oficialmente suportadas até 2020.2 Alpha. Não estamos planejando lançar um patch para outras versões do Unity.
Nosso foco agora é resolver as vulnerabilidades identificadas em todas as versões oficialmente suportadas até 2020.2 Alpha. Não estamos planejando lançar um patch para outras versões do Unity
Talvez seja necessário reconstruir seus pacotes se algum ativo for reimportado quando você abrir seu projeto pela primeira vez na versão corrigida do Unity Editor.
Referências
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9