Обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.

Нет. Затронут только редактор Unity.

Только для Windows. Платформы Mac и Linux не затронуты выявленной уязвимостью.

Все версии Windows.

Все версии редактора Unity Editor, работающие под Windows.

Мы выпустили патч для следующих версий Unity: 5.3, 5.4, 5.5, 5.6 и 2017.1. Полная информация приведена на этой странице.

Мы не будем обновлять Unity 4.x, 5.0, 5.1 или 5.2.

Unity выпустит по одному патчу для каждой из актуальных дот-версий Unity. Например, пользователям, работающим с более старой версией Unity 5.3, нужно будет обновиться до исправленной версии 5.3.8. Патчей для 5.3.7, 5.3.6 и т.д. не будет.

Мы предоставляем обходной путь, который отключает выявленную уязвимую функцию Unity Editor, который можно загрузить с сайта Mitigation Tool Guide [7]. Однако следует понимать, что это обходное решение не является патчем и имеет свои ограничения. Обходной путь отключит функцию редактора Unity, признанную уязвимой, но поскольку мы не можем контролировать, будет ли затронутая функция снова включена в какой-то момент после применения обходного пути (изменения системы, переустановка и т. д.), мы настоятельно рекомендуем обновить Unity до последней версии, чтобы получить преимущества полного исправления. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.

Обновления доступны здесь, в разделе "Версии патчей".

Средство обхода может быть использовано во всех затронутых версиях Unity. Однако следует понимать, что данное обходное решение не является патчем и имеет свои ограничения: оно отключает выявленные уязвимые функции редактора, но поскольку мы не можем контролировать, будет ли затронутая функциональность снова включена в какой-то момент после применения обходного решения (изменение системы, переустановка и т.д.), мы настоятельно рекомендуем обновить версию до исправленной. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.

Нет, при однократном запуске он деактивирует выявленный уязвимый компонент на всех них. Помните, что повторная установка или обновление (одной) из версий может снова активировать компонент. Чтобы проверить, повторно запустите средство обхода, пока все версии не будут обновлены.

Это решение отключит функцию редактора Unity, признанную уязвимой, но так как мы не можем контролировать, будет ли затронутая функция снова включена в какой-то момент после применения решения (изменения в системе, переустановка и т. д.), мы настоятельно рекомендуем обновить ее до исправленной версии. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.

Обновления доступны здесь, в разделе "Версии патчей".

Сейчас мы сосредоточены на устранении выявленных уязвимостей в самой последней версии каждого dot-релиза. На данный момент мы не можем сообщить никаких подробностей об исправлениях для других версий.

Это зависит от конкретной версии Unity, которую вы используете. Большинство клиентов смогут обновиться до исправленных версий без необходимости пересобирать свои пакеты, но некоторые клиенты могут обнаружить, что импортеры активов были обновлены между текущей версией и патчем для этого dot-релиза. Для таких клиентов может потребоваться восстановление пакетов активов.

Вам точно не придется перестраивать пакеты, если вы используете версии 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 или 2017.1.0p3.

Вам может потребоваться пересобрать пакеты, если какие-либо активы будут импортированы заново, когда вы впервые откроете свой проект в исправленной версии Unity.