Обновление безопасности Unity за август 2017 года

August 2017 Security Update Advisory (CVE-2017-12939)

Сведения об уязвимости

ИДЕНТИФИКАТОР CVE: CVE-2017-12939

Тип Удаленное выполнение кода

Дата обнаружения: 03.10.2022 - 2017/08/13 $

Обнаружено: Rio

Дата выпуска исправления: 30.01.2023 - 2017/08/18 $

Затронутая операционная система: Windows

Затронутые версии: Все (Windows)

Тяжесть: Высокий

Исправленные версии:

[1] 5.3.8p2(Win)(Mac)
[2] 5.4.5p5(Win)(Mac)
[3] 5.5.4p3(Win)(Mac)
[4] 5.6.3p1(Win)(Mac)
[5] 2017.1.0p4(Win)(Mac)
[6] 2017.2.0b8(Win)(Mac)

Обратите внимание: Версия для Mac предоставляется в качестве любезности для команд, использующих Windows и Mac. Версия для Mac НЕ подвержена выявленной уязвимости.

Если патч для вашей версии недоступен, воспользуйтесь инструментом Mitigation Tool [7] (все версии).

В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.

Действия по устранению

Определите версию вашего редактора Unity Editor

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

В меню Файл выберите Справка -> О Unity.

Версия Unity отображается в окне О Unity.

Установить обновление

Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.

Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.

Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".

Инструмент для смягчения последствий

Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].

Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.

FAQ

Какая уязвимость устраняется данным обновлением?

Влияет ли эта уязвимость каким-либо образом на встроенные игры/приложения?

Какие платформы затронуты уязвимостью?

Какие версии Windows затронуты?

Какие версии Unity затронуты?

Какие версии редактора Unity подвергаются исправлению?

Будет ли исправлена моя конкретная версия?

Что делать с версиями старше 5.3?

Когда будет доступен патч?

Работает ли средство обхода для версий новее 5.3? Могу ли я использовать инструмент обхода вместо исправления?

Я использую несколько версий Unity, нужно ли применять средство обхода для всех из них?

Могу ли я просто использовать обходной путь и никогда не переходить на исправленную версию?

Как я могу получить обходной путь (или исправления)?

У меня заблокированная старая версия Unity 5.x.x. Будете ли вы выпускать патч именно для той версии Unity, которую я использую?

Нужно ли будет перестраивать пакеты активов в связи с необходимостью обновления?

Как узнать, нужно ли перестраивать наборы активов?

Ссылки

[1] 5.3.8p2(Win)(Mac)
[2] 5.4.5p5(Win)(Mac)
[3] 5.5.4p3(Win)(Mac)
[4] 5.6.3p1(Win)(Mac)
[5] 2017.1.0p4(Win)(Mac)
[6] 2017.2.0b8(Win)(Mac)
[7] Руководство по средствам смягчения последствий