What type of vulnerabilities were addressed in this update?

Two out-of-bounds memory issues were identified that could lead to Denial Of Service (DoS), allowing an attacker to crash the Unity process, and potentially the game or application.

Do these vulnerabilities affect built games/applications in any way?

Yes. Games and applications built with the Unity Editor using the Unity Multiplayer and Networking UNET feature are affected.

What Unity features are affected?

Only Unity UNET is affected by the identified vulnerabilities.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

What platforms are affected?

All supported platforms are affected.

What platform versions are affected?

All platform versions are affected.

What versions of Unity are affected?

All versions of the Unity Editor are affected.

What versions of the Unity Editor are being patched?

We have released a patch for all officially supported versions of the Unity Editor up to 2020.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current versions, i.e., last update of the Unity Editor.

What about versions 5.6 and older?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerabilities in all officially supported versions up to 2020.2 Alpha. We are not planning to release a patch for other versions of Unity

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Сведения об уязвимости

CVE ID: CVE-2020-12630, CVE-2020-12631

Тип: отказ в обслуживании

Дата обнаружения: 31.01.2020

Заявитель: Джек Бейкер

Дата выпуска исправления: 19.05.2020

Затронутая операционная система: все поддерживаемые платформы

Затронутые версии: все

Опасность: высокая

Исправленные версии:

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

В функции Unity Multiplayer and Networking UNET обнаружены две уязвимости out-of-bounds, затрагивающие приложения, созданные в редакторе Unity с использованием UNET. Эти уязвимости могут приводить к атакам Denial Of Service (DoS), позволяя злоумышленнику нарушить работу процесса Unity, а также (потенциально) игры или приложения.

Действия по устранению

Определите, какую версию редактора Unity вы установили

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

Редактор Unity с отображением версии Unity

Установка обновления

Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.

Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок .

Создайте сборку и опубликуйте ее

После обновления редактора Unity нужно создать новую сборку игры или приложения и опубликовать исправленную версию.

FAQ

Какие уязвимости устраняются данным обновлением?

Выявлены две уязвимости out-of-bounds, которые могут приводить к атакам Denial Of Service (DoS), позволяя злоумышленнику нарушить работу процесса Unity, а также (потенциально) игры или приложения.

Эти уязвимости затрагивают уже созданные игры и приложения?

Да. Это касается игр и приложений, созданных в редакторе Unity и использующих функцию Unity Multiplayer and Networking UNET.

Какие функции Unity затронуты уязвимостями?

Выявленные уязвимости затрагивают только Unity UNET.

Нужно ли будет пересобирать ассеты после обновления?

Это зависит от того, какую именно версию редактора Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.

Какие платформы затронуты уязвимостью?

Затронуты все поддерживаемые платформы.

Какие версии платформ затронуты уязвимостью?

Затронуты все версии платформ.

Какие версии редактора Unity затронуты уязвимостью?

Затронуты все версии редактора Unity.

К каким версиям редактора Unity применяется исправление?

Мы выпустили исправление для всех официально поддерживаемых версий редактора Unity вплоть до альфа-версии 2020.2. Все последующие версии также включают исправление.

Будет ли исправление применено к моей версии?

Unity выпустит одно исправление для каждой из самых современных версий, то есть для последнего обновления редактора Unity.

Будет ли выпущено исправление для Unity 5.6 и предыдущих выпусков?

В настоящее время мы занимаемся устранением уязвимости во всех официально поддерживаемых версиях вплоть до альфа-версии 2020.2. Мы не планируем выпускать исправление для остальных версий Unity.

Мой процесс разработки привязан к выпуску Unity 5.x.x. Будет ли выпущено исправление для моей версии Unity?

Как узнать, нужна ли мне пересборка ассетов?

Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии редактора Unity.

Ссылки

[1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14
[2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23
[3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40
[4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11
[5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9

Рекомендации по обновлению безопасности от мая 2020 г. (CVE-2020-12630, CVE-2020-12631)