Сведения об уязвимости
CVE ID: CVE-2020-12630, CVE-2020-12631
Тип: отказ в обслуживании
Дата обнаружения: 31.01.2020
Заявитель: Джек Бейкер
Дата выпуска исправления: 19.05.2020
Затронутая операционная система: все поддерживаемые платформы
Затронутые версии: все
Опасность: высокая
Исправленные версии:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
В функции Unity Multiplayer and Networking UNET обнаружены две уязвимости out-of-bounds, затрагивающие приложения, созданные в редакторе Unity с использованием UNET. Эти уязвимости могут приводить к атакам Denial Of Service (DoS), позволяя злоумышленнику нарушить работу процесса Unity, а также (потенциально) игры или приложения.
Действия по устранению
Определите, какую версию редактора Unity вы установили
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.

Установка обновления
Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.
Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок .
Создайте сборку и опубликуйте ее
После обновления редактора Unity нужно создать новую сборку игры или приложения и опубликовать исправленную версию.
FAQ
Выявлены две уязвимости out-of-bounds, которые могут приводить к атакам Denial Of Service (DoS), позволяя злоумышленнику нарушить работу процесса Unity, а также (потенциально) игры или приложения.
Да. Это касается игр и приложений, созданных в редакторе Unity и использующих функцию Unity Multiplayer and Networking UNET.
Выявленные уязвимости затрагивают только Unity UNET.
Это зависит от того, какую именно версию редактора Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.
Затронуты все поддерживаемые платформы.
Затронуты все версии платформ.
Затронуты все версии редактора Unity.
Мы выпустили исправление для всех официально поддерживаемых версий редактора Unity вплоть до альфа-версии 2020.2. Все последующие версии также включают исправление.
Unity выпустит одно исправление для каждой из самых современных версий, то есть для последнего обновления редактора Unity.
В настоящее время мы занимаемся устранением уязвимости во всех официально поддерживаемых версиях вплоть до альфа-версии 2020.2. Мы не планируем выпускать исправление для остальных версий Unity.
В настоящее время мы занимаемся устранением уязвимости во всех официально поддерживаемых версиях вплоть до альфа-версии 2020.2. Мы не планируем выпускать исправление для остальных версий Unity
Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии редактора Unity.
Ссылки
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9