Detalhes da vulnerabilidade
ID de CVE: CVE-2020-12630, CVE-2020-12631
Tipo: negação de serviço
Detectada em: 31/01/2020
Detectada por: Jack Baker
Disponibilidade da correção: 19/05/2020
Sistema operacional afetado: todas as plataformas compatíveis
Versões afetadas: todas
Gravidade: alta
Versões da correção:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
Foram identificados dois problemas de memória fora dos limites no recurso UNET de multijogador e rede do Unity que afetam jogos e aplicativos desenvolvidos com o Unity Editor usando o UNET. Esses problemas podem causar negação de serviço (DoS), permitindo que um invasor trave o processo do Unity e, possivelmente, o jogo ou aplicativo.
Etapas de correção
Determine a versão do Unity Editor
Abra um projeto do Unity.
A versão do Unity está visível no título da janela principal.

Instale a atualização
Se a sua versão do Unity Editor não for uma das versões de correção listadas na seção Detalhes da vulnerabilidade acima, continue com a instalação da atualização da seguinte forma.
Para instalar a atualização, use o verificador de atualização do Unity Editor disponível no menu File, em Help > Check for Updates.

Além disso, você pode baixar e instalar o patch correspondente para a sua versão do Unity Editor. Os links para download estão disponíveis em Versões da correção na seção Detalhes da vulnerabilidade e na seção Referências.
Compile e implemente
Depois de atualizar o Unity Editor, prossiga com a geração de uma nova build do jogo ou aplicativo e implemente a nova versão corrigida.
Perguntas frequentes
Foram identificados dois problemas de memória fora dos limites que podem causar negação de serviço (DoS), permitindo que um invasor trave o processo do Unity e, possivelmente, o jogo ou o aplicativo.
Sim. São afetados os jogos e os aplicativos desenvolvidos com o Unity Editor usando o recurso UNET de multijogador e rede do Unity.
Somente o UNET do Unity é afetado pelas vulnerabilidades identificadas.
Depende da versão do Unity Editor que você está usando. A maioria dos clientes conseguirá atualizar para as versões corrigidas sem a necessidade de recompilar os pacotes, mas alguns clientes poderão perceber que os importadores de assets foram atualizados entre a versão que estão usando atualmente e a correção para esse lançamento pontual. Para esses clientes, poderá ser necessário recompilar pacotes de assets.
Todas as plataformas compatíveis são afetadas.
Todas as versões são afetadas.
Todas as versões do Unity Editor são afetadas.
Nós lançamos uma correção para todas as versões oficialmente compatíveis do Unity Editor até o 2020.2 Alpha. Todas as versões futuras também vão contar com a atualização.
A Unity lançará uma correção única para cada uma das versões mais atuais, ou seja, a última atualização do Unity Editor.
Nosso foco neste momento é abordar as vulnerabilidades identificadas em todas as versões oficialmente compatíveis até o 2020.2 Alpha. Não planejamos lançar correções para outras versões do Unity.
Nosso foco neste momento é abordar as vulnerabilidades identificadas em todas as versões oficialmente compatíveis até o 2020.2 Alpha. Não planejamos lançar correções para outras versões do Unity.
Talvez você precise recompilar seus pacotes se algum asset for importado novamente quando você abrir um projeto pela primeira vez na versão corrigida do Unity Editor.
Referências
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9