Sicherheitsupdateempfehlung vom August 2017 (CVE-2017-12939)
Details zur Sicherheitslücke
CVE-KENNUNG: CVE-2017-12939
Typ Remotecodeausführung
Entdeckt: 03.10.2022 - 2017/08/13 USD
Entdeckt von: Rio
Patch-Verfügbarkeit: 30.01.2023 - 2017/08/18 USD
Betroffenes Betriebssystem: Windows
Betroffene Versionen: Alle (Windows)
Strenge: Hoch
Patch-Versionen:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
Bitte beachten Sie: Die Mac-Version wird aus Höflichkeit für Teamumgebungen mit Windows und Mac bereitgestellt. Die Mac-Version ist NICHT von der identifizierten Schwachstelle betroffen.
Wenn für Ihre Version kein Patch verfügbar ist, verwenden Sie bitte das Mitigation Tool [7] (Alle Versionen).
Im Unity-Editor wurde ein Problem bei der Überprüfung von Eingabezeichenfolgen identifiziert, das sich auf die Windows-Plattform auswirkt und zu Remote Code Execution (RCE) führen kann, sodass ein Angreifer möglicherweise Code remote auf dem Computer des Benutzers ausführen kann.
Schritte zur Behebung
Bestimmen der Version Ihres Unity-Editors
Öffnen Sie ein Unity-Projekt.
Die Unity-Version ist im Titel des Hauptfensters sichtbar.
Wählen Sie im Menü Datei die Option Hilfe -> Über Unity aus.
Die Unity-Version wird im Fenster Info zu Unity angezeigt.
Update installieren
Wenn Ihre Version des Unity-Editors nicht zu den im Abschnitt "Patch-Versionen der Details zu Sicherheitsrisiken " oben aufgeführten Versionen gehört, können Sie mit der Update-Installation wie folgt fortfahren.
Um das Update zu installieren, können Sie die Updateprüfung des Unity-Editors verwenden, die im Menü Datei, Hilfe -> Nach Updates suchen verfügbar ist.
Darüber hinaus können Sie den entsprechenden Patch für Ihre Version des Unity-Editors herunterladen und installieren. Die Download-Links sind im Abschnitt "Patch-Versionen " im Abschnitt "Details zu Sicherheitslücken " und im Abschnitt "Referenzen " verfügbar.
Tool zur Risikominderung
Wenn Ihre Version des Unity-Editors nicht aufgeführt ist oder Sie das Update derzeit nicht installieren können, können Sie das Mitigation Tool Guide [7] verwenden.
Bitte beachten Sie, dass die empfohlene Aktion darin besteht, eine korrigierte Version des Unity-Editors zu installieren.
FAQ
Es wurde ein Problem bei der Überprüfung von Eingabezeichenfolgen identifiziert, das zu einer Remotecodeausführung (Remote Code Execution, RCE) führen kann, sodass ein Angreifer möglicherweise Code remote auf dem Computer des Benutzers ausführen kann.
Nein. Nur der Unity-Editor ist betroffen.
Nur Windows. Mac- und Linux-Plattformen sind von der identifizierten Schwachstelle nicht betroffen.
Alle Windows-Versionen.
Alle Versionen des Unity-Editors, die unter Windows ausgeführt werden.
Wir haben einen Patch für die folgenden Unity-Versionen veröffentlicht: 5.3, 5.4, 5.5, 5.6 und 2017.1. Die vollständigen Details finden Sie auf dieser Seite.
Wir werden Unity 4.x, 5.0, 5.1 oder 5.2 nicht patchen.
Unity wird für jede der aktuellsten Punktversionen von Unity einen einzelnen Patch veröffentlichen. Beispielsweise müssen Benutzer, die eine ältere Version von Unity 5.3 ausführen, auf die gepatchte Version von 5.3.8 aktualisieren. Es wird keine Patches für 5.3.7, 5.3.6 usw. geben.
Wir stellen ein Workaround-Tool bereit, das die identifizierte anfällige Unity-Editor-Funktion deaktiviert, die aus dem Mitigation Tool Guide [7] heruntergeladen werden kann. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat. Die Problemumgehung deaktiviert die als anfällig identifizierte Unity-Editor-Funktion, aber da wir nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach dem Anwenden der Problemumgehung (Systemänderungen, Neuinstallationen usw.) wieder aktiviert wird, empfehlen wir dringend, auf die neueste Version von Unity zu aktualisieren, um die Vorteile des vollständigen Patches zu nutzen. Sie können auch die Funktion "In Unity öffnen" in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Problemumgehung angewendet haben.
Die Updates sind hier im Abschnitt "Patch-Versionen" verfügbar.
Das Workaround-Tool kann auf allen betroffenen Versionen von Unity verwendet werden. Bitte haben Sie jedoch Verständnis dafür, dass der Workaround kein Patch ist und Einschränkungen hat: Der Workaround deaktiviert die identifizierten anfälligen Editor-Funktionen, aber da wir nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach dem Anwenden des Workarounds (Systemänderungen, Neuinstallationen usw.) wieder aktiviert wird, empfehlen wir dringend, auf eine gepatchte Version zu aktualisieren. Sie können auch die Funktion "In Unity öffnen" in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Problemumgehung angewendet haben.
Nein, indem Sie es ausführen, sobald es die identifizierte anfällige Komponente für alle deaktiviert. Beachten Sie, dass durch eine Neuinstallation oder Aktualisierung (einer) der Versionen die Komponente möglicherweise wieder aktiviert wird. Um dies zu überprüfen, führen Sie das Workaround-Tool erneut aus, bis alle Versionen auf dem neuesten Stand sind.
Die Problemumgehung deaktiviert das als anfällig identifizierte Unity-Editor-Feature, aber da wir nicht kontrollieren können, ob die betroffene Funktionalität irgendwann nach dem Anwenden der Problemumgehung (Systemänderungen, Neuinstallationen usw.) wieder aktiviert wird, empfehlen wir dringend, auf eine gepatchte Version zu aktualisieren. Sie können auch die Funktion "In Unity öffnen" in der Webbrowser-Version des Asset Store nicht mehr verwenden, nachdem Sie die Problemumgehung angewendet haben.
Die Updates sind hier im Abschnitt "Patch-Versionen" verfügbar.
Unser Fokus liegt derzeit darauf, die identifizierte Schwachstelle in der aktuellsten Version jedes Dot-Release zu beheben. Wir haben derzeit keine Details zu Patches für andere Versionen.
Dies hängt von der spezifischen Version von Unity ab, die Sie verwenden. Die meisten Kunden können auf die gepatchten Versionen aktualisieren, ohne ihre Bundles neu erstellen zu müssen, aber einige Kunden stellen möglicherweise fest, dass Asset-Importer zwischen der Version, die sie derzeit verwenden, und dem Patch für diese Punktversion aktualisiert wurden. Für diese Kunden kann ein erneuter Aufbau von Asset-Paketen erforderlich sein.
Sie müssen Bundles definitiv nicht neu erstellen, wenn Sie derzeit 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 oder 2017.1.0p3 verwenden.
Möglicherweise müssen Sie Ihre Bundles neu erstellen, wenn Assets erneut importiert werden, wenn Sie Ihr Projekt zum ersten Mal in der gepatchten Version von Unity öffnen.