What type of vulnerabilities were addressed in this update?

Two out-of-bounds memory issues were identified that could lead to Denial Of Service (DoS), allowing an attacker to crash the Unity process, and potentially the game or application.

Do these vulnerabilities affect built games/applications in any way?

Yes. Games and applications built with the Unity Editor using the Unity Multiplayer and Networking UNET feature are affected.

What Unity features are affected?

Only Unity UNET is affected by the identified vulnerabilities.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

What platforms are affected?

All supported platforms are affected.

What platform versions are affected?

All platform versions are affected.

What versions of Unity are affected?

All versions of the Unity Editor are affected.

What versions of the Unity Editor are being patched?

We have released a patch for all officially supported versions of the Unity Editor up to 2020.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current versions, i.e., last update of the Unity Editor.

What about versions 5.6 and older?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Aviso sobre a atualização de segurança de maio de 2020 (CVE-2020-12630, CVE-2020-12631)

Detalhes da vulnerabilidade

Etapas de correção

Perguntas frequentes

Referências

Detalhes da vulnerabilidade

ID de CVE: CVE-2020-12630, CVE-2020-12631

Tipo: negação de serviço

Detectada em: 31/01/2020

Detectada por: Jack Baker

Disponibilidade da correção: 19/05/2020

Sistema operacional afetado: todas as plataformas compatíveis

Versões afetadas: todas

Gravidade: alta

Versões da correção:

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

Foram identificados dois problemas de memória fora dos limites no recurso UNET de multijogador e rede do Unity que afetam jogos e aplicativos desenvolvidos com o Unity Editor usando o UNET. Esses problemas podem causar negação de serviço (DoS), permitindo que um invasor trave o processo do Unity e, possivelmente, o jogo ou aplicativo.

Etapas de correção

Determine a versão do Unity Editor

Abra um projeto do Unity.

A versão do Unity está visível no título da janela principal.

Unity Editor exibindo uma versão do Unity

Instale a atualização

Se a sua versão do Unity Editor não for uma das versões de correção listadas na seção Detalhes da vulnerabilidade acima, continue com a instalação da atualização da seguinte forma.

Para instalar a atualização, use o verificador de atualização do Unity Editor disponível no menu File, em Help > Check for Updates.

Além disso, você pode baixar e instalar o patch correspondente para a sua versão do Unity Editor. Os links para download estão disponíveis em Versões da correção na seção Detalhes da vulnerabilidade e na seção Referências.

Compile e implemente

Depois de atualizar o Unity Editor, prossiga com a geração de uma nova build do jogo ou aplicativo e implemente a nova versão corrigida.

Perguntas frequentes

Quais tipos de vulnerabilidades foram abordadas nesta atualização?

Foram identificados dois problemas de memória fora dos limites que podem causar negação de serviço (DoS), permitindo que um invasor trave o processo do Unity e, possivelmente, o jogo ou o aplicativo.

Essas vulnerabilidades afetam jogos/aplicativos?

Sim. São afetados os jogos e os aplicativos desenvolvidos com o Unity Editor usando o recurso UNET de multijogador e rede do Unity.

Quais recursos do Unity são afetados?

Somente o UNET do Unity é afetado pelas vulnerabilidades identificadas.

Vou precisar recompilar pacotes de assets por causa do requisito de atualização?

Depende da versão do Unity Editor que você está usando. A maioria dos clientes conseguirá atualizar para as versões corrigidas sem a necessidade de recompilar os pacotes, mas alguns clientes poderão perceber que os importadores de assets foram atualizados entre a versão que estão usando atualmente e a correção para esse lançamento pontual. Para esses clientes, poderá ser necessário recompilar pacotes de assets.

Quais plataformas são afetadas?

Todas as plataformas compatíveis são afetadas.

Quais versões da plataforma são afetadas?

Todas as versões são afetadas.

Quais versões do Unity são afetadas?

Todas as versões do Unity Editor são afetadas.

Quais versões do Unity Editor estão sendo corrigidas?

Nós lançamos uma correção para todas as versões oficialmente compatíveis do Unity Editor até o 2020.2 Alpha. Todas as versões futuras também vão contar com a atualização.

A minha versão específica será corrigida?

A Unity lançará uma correção única para cada uma das versões mais atuais, ou seja, a última atualização do Unity Editor.

E as versões 5.6 e anteriores?

Nosso foco neste momento é abordar as vulnerabilidades identificadas em todas as versões oficialmente compatíveis até o 2020.2 Alpha. Não planejamos lançar correções para outras versões do Unity.

Eu tenho uma versão bloqueada mais antiga do Unity 5.x.x. Vocês vão produzir uma correção para a versão exata do Unity que estou usando?

Nosso foco neste momento é abordar as vulnerabilidades identificadas em todas as versões oficialmente compatíveis até o 2020.2 Alpha. Não planejamos lançar correções para outras versões do Unity.

Como vou saber se precisarei recompilar meus pacotes de assets?

Talvez você precise recompilar seus pacotes se algum asset for importado novamente quando você abrir um projeto pela primeira vez na versão corrigida do Unity Editor.

Referências

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9