Сведения об уязвимости
CVE ID: CVE-2017-12939
Тип: удаленное выполнение кода
Дата обнаружения: 13.08.2017
Заявитель: Rio
Дата выпуска исправления: 18.08.2017
Затронутая операционная система: Windows
Затронутые версии: все (Windows)
Опасность: высокая
Исправленные версии:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Обратите внимание: версия для Mac предоставляется для студий, использующих Windows и Mac. Версия для Mac НЕ затронута выявленной уязвимостью.
Если исправление еще не выпущено, то воспользуйтесь инструментом устранения неполадок [7] (все версии).
В редакторе Unity обнаружена проблема проверки введенного текста, затрагивающая платформу Windows и способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.
Действия по устранению
Определите, какую версию редактора Unity вы установили
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.

Выберите пункт File Help -> About Unity.

Версия Unity указана в окне About Unity.

Установка обновления
Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.
Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок.
Инструмент устранения неполадок
Если ваша версия редактора Unity отсутствует в списке или если вы пока не можете установить обновление, то можете воспользоваться руководством к инструменту устранения неполадок [7].
Напоминание: рекомендуется установить исправленную версию редактора Unity.
FAQ
Обнаружена проблема проверки введенного текста, способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.
Нет. Затронут только редактор Unity.
Только Windows. Платформы Mac и Linux не затронуты выявленной неисправностью.
Все версии Windows.
Затронуты все версии редактора Unity для Windows.
Мы выпустили исправление для следующих версий Unity: 5.3, 5.4, 5.5, 5.6 и 2017.1. Подробные сведения указаны на этой странице.
Мы не будем выпускать исправления для Unity 4.x, 5.0, 5.1 или 5.2.
Unity выпустит одно исправление для каждой из самых современных точечных версий Unity. Например, пользователям более старой версии Unity 5.3 придется перейти на исправленную версию 5.3.8. Исправления для Unity 5.3.7, 5.3.6 и других версий выпускаться не будут.
Мы выпустили инструмент устранения неполадок, который отключает выявленную уязвимую функцию редактора Unity. Инструмент можно загрузить на странице руководства по использованию инструмента устранения неполадок [7]. При этом помните, что это средство не является исправлением и накладывает ограничения. Инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до последней исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.
Обновления можно загрузить здесь, в разделе «Исправленные версии».
Инструмент устранения неполадок можно применять ко всем затронутым версиям редактора Unity. Помните, что это средство не является исправлением и накладывает некоторые ограничения: инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до последней исправленной версии. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.
Нет, для выключения функции достаточно одного запуска. Не забывайте, что переустановка или обновление (одной из) установленных версий может привести к включению уязвимого компонента. Запускайте инструмент, пока все версии не обновятся.
Инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до исправленной версии. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.
Обновления можно загрузить здесь, в разделе «Исправленные версии».
В настоящее время мы сосредоточены на устранении выявленной неисправности в самой последней версии каждого из точечных выпусков. На данный момент у нас нет информации о выпуске исправлений для других версий.
Это зависит от того, какую именно версию Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.
Если вы используете Unity 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 или 2017.1.0p3, то пересборка ассетов вам точно не понадобится.
Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии Unity.