Сведения об уязвимости
CVE ID: CVE-2019-9197
Тип: удаленное выполнение кода
Дата обнаружения: 15.11.2018
Заявитель: команда безопасности rgod of 9sg - rgod@9sgsec.com в сотрудничестве с инициативой Trend Micro Zero Day
Дата выпуска исправления: 04.03.2019
Затронутая операционная система: Windows
Затронутые версии: все (Windows)
Опасность: высокая
Исправленные версии:
- [1] 2019.2.0a7 (Win), объем = 795,664 Б, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), объем = 696,212 кБ, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), объем = 570,279 кБ, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), объем = 580,009 кБ, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), объем = 527,486 кБ, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), объем = 554,855 кБ, md5=d761d8c151007ce2474ddc9d468abc02
В редакторе Unity обнаружена проблема проверки введенного текста, затрагивающая платформу Windows и способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.
Действия по устранению
Определите, какую версию редактора Unity вы установили
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.

Выберите пункт File Help -> About Unity.

Версия Unity указана в окне About Unity.

Установка обновления
Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.
Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок.
Инструмент устранения неполадок
Если ваша версия редактора Unity отсутствует в списке или если вы пока не можете установить обновление, то можете воспользоваться руководством к инструменту устранения неполадок [7].
Напоминание: рекомендуется установить исправленную версию редактора Unity.
FAQ
Обнаружена проблема проверки введенного текста, способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.
Нет. Затронут только редактор Unity.
Только Windows. Платформы Mac и Linux не затронуты выявленной неисправностью.
Все версии Windows.
Затронуты все версии редактора Unity для Windows.
Мы выпустили исправление для последних версий редактора Unity 5.6 и всех официально поддерживаемых версий вплоть до альфа-версии 2019.2. Все последующие версии также включают исправление.
Unity выпустит одно исправление для каждой из самых современных версий, то есть для последнего обновления редактора Unity.
Мы выпустили инструмент устранения неполадок, который отключает выявленную уязвимую функцию редактора Unity. Инструмент можно загрузить из руководства по использованию инструмента устранения неполадок [7].
Помните, что инструмент устранения неполадок не является исправлением и имеет ряд ограничений. Этот инструмент отключает небезопасные функции редактора Unity, но поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента, мы настоятельно рекомендуем обновить редактор Unity до исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.
Инструмент устранения неполадок можно применять ко всем затронутым версиям редактора Unity.
Помните, что инструмент устранения неполадок не является исправлением и имеет ряд ограничений. Этот инструмент отключает небезопасные функции редактора Unity, но поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента, мы настоятельно рекомендуем обновить редактор Unity до исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store..
Нет, для выключения функции достаточно одного запуска. Не забывайте, что переустановка или обновление (одной из) установленных версий может привести к включению уязвимого компонента. Запускайте инструмент, пока все версии не обновятся.
Этот инструмент отключает небезопасные функции редактора Unity, но поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента, мы настоятельно рекомендуем обновить редактор Unity до исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.
В настоящее время мы занимаемся устранением уязвимости в Unity 5.6 и всех официально поддерживаемых версиях вплоть до альфа-версии 2019.2. На данный момент у нас нет информации о выпуске исправлений для других версий.
Это зависит от того, какую именно версию редактора Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.
Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии редактора Unity.
Ссылки
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [6] 5.6.7f1 (Win)
- [7] Руководство по инструменту устранения неполадок
- [8] Инструмент устранения неполадок