Обзор
В редакторе Unity обнаружены уязвимости памяти, которые могут привести к удаленному выполнению кода при импорте типов файлов, связанных с FBX или SketchUp.
Обновленная версия редактора Unity включает последнюю версию исправлений безопасности Autodesk FBX SDK и SketchUp SDK.
Сведения об уязвимости
CVE ID: несколько, см. приведенные ниже рекомендации, чтобы узнать больше. ADSK-SA-2022-0022[1] ADSK-SA-2021-0001[2]
Тип: удаленное выполнение кода
Дата обнаружения: 03.10.2022
Заявитель: Майкл Депланте (Michael DePlante, @izobashi) из Trend Micro Zero Day Initiative
Дата выпуска исправления: 30.01.2023
Затронутая операционная система: все поддерживаемые платформы
Затронутые версии: все
Опасность: высокая
Исправленные версии:
- 2023.1.0a26
- 2022.2.3f1
- 2021.3.17f1
- 2020.3.44f1
Действия по устранению
Если ваша версия редактора Unity не указана в списке исправленных версий в разделе сведений об уязвимости и не новее, установите последнюю доступную версию. Вы можете просмотреть текущую версию и проверить наличие обновлений с помощью функции Check for Updates (Проверить наличие обновлений), следуя инструкциям для вашей версии редактора Unity на странице Manual: Check For Updates (Руководство: проверка наличия обновлений).
Ответы на часто задаваемые вопросы
Мы выявили проблемы с повреждением памяти, которые могут привести к удаленному выполнению кода (RCE) и/или отказу в обслуживании (DoS).
Затронуты все платформы, на которых доступен редактор Unity.
Мы выпустили исправление для версии с долгосрочной поддержкой (LTS) и предварительных (альфа- и бета-) версий. Все последующие версии также включают исправление.