Avis de mise à jour de sécurité de mars 2019 (CVE-2019-9197)

Détails de la faille

IDENTIFIANT CVE : CVE-2019-9197

Taper: Exécution de code à distance

Découverte : 03/10/2022 - 2018/11/15 USD

Découvert par : rgod de l'équipe de sécurité 9sg - rgod@9sgsec.com travaillant avec l'initiative Zero Day de Trend Micro

Disponibilité des correctifs : 30/01/2023 - 2019/03/04 USD

Système d'exploitation concerné : Windows

Versions concernées : Tout (Windows)

Gravité: Haut

Versions des correctifs :

  • [1] 2019.2.0a7 (Win), taille = 795 664 octets, md5 = 6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), taille = 696 212 Ko, md5 : d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), taille = 570 279 Ko, md5 = 6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), taille = 580 009 Ko, md5 = 1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), taille = 527 486 Ko, md5 = 8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), taille = 554 855 Ko, md5 = d761d8c151007ce2474ddc9d468abc02

Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity affectant la plate-forme Windows et pouvant conduire à l'exécution de code à distance (RCE), permettant à un attaquant d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Étapes de correction

Déterminez la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Unity Version in Window 2

Dans le menu Fichier, choisissez Aide -> À propos d'Unity.

About Unity Dropdown

La version d'Unity est affichée dans la fenêtre À propos d'Unity .

About Unity in Editor

Installer la mise à jour

Si votre version de l'éditeur Unity ne fait pas partie de celles répertoriées dans la section Versions des correctifs de la section Détails des vulnérabilités ci-dessus, vous pouvez poursuivre l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de Unity Editor disponible dans le menu Fichier Help -> Check for Updates.

Unity Check for Updates

De plus, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des vulnérabilités et dans la section Références .

Outil d'atténuation

Si votre version de l'éditeur Unity n'est pas répertoriée ou si vous ne parvenez pas à installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation [7].

Veuillez garder à l'esprit que l'action recommandée consiste à installer une version corrigée de l'éditeur Unity.

FAQ

Un problème de validation de chaîne d'entrée a été identifié, susceptible de conduire à l'exécution de code à distance (RCE), permettant à un attaquant d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Non. Seul l’éditeur Unity est concerné.

Windows seulement. Les plateformes Mac et Linux ne sont pas affectées par la vulnérabilité identifiée.

Toutes les versions de Windows.

Toutes les versions de Unity Editor fonctionnant sous Windows.

Nous avons publié un correctif pour les dernières versions 5.6 de Unity Editor et toutes les versions officiellement prises en charge jusqu'à 2019.2 Alpha. La mise à jour sera intégrée à toutes les versions futures.

Unity publiera un seul correctif pour chacune des mises à jour les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.

Nous fournissons un outil d'atténuation qui désactive la fonctionnalité vulnérable identifiée de l'éditeur Unity qui peut être téléchargé à partir duGuide de l'outil d'atténuation [7].

Veuillez prendre en compte que l'atténuation n'est pas un correctif et comporte des limites. L'atténuation désactivera la fonctionnalité de l'éditeur Unity identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l'application de l'atténuation, nous vous recommandons fortement de mettre à jour vers une version fixe de l'éditeur Unity pour bénéficier des avantages. du patch complet. Vous ne pourrez également plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Web d'Asset Store après avoir appliqué l'atténuation.

L'outil d'atténuation peut être utilisé sur toutes les versions concernées de l'éditeur Unity.

Veuillez prendre en compte que l'atténuation n'est pas un correctif et comporte des limites. L'atténuation désactivera la fonctionnalité de l'éditeur Unity identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l'application de l'atténuation, nous vous recommandons fortement de mettre à jour vers une version fixe de l'éditeur Unity pour bénéficier des avantages. du patch complet. Vous ne pourrez également plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Web d'Asset Store après avoir appliqué l'atténuation.

Non, en l'exécutant une fois qu'il a désactivé le composant vulnérable identifié sur chacun d'eux. Gardez à l’esprit qu’en réinstallant ou en mettant à jour (une) des versions, cela peut réactiver le composant. Pour vérifier, réexécutez l'outil de solution de contournement jusqu'à ce que toutes les versions soient à jour.

L'atténuation désactivera la fonctionnalité de l'éditeur Unity identifiée comme vulnérable, mais comme nous ne pouvons pas contrôler si la fonctionnalité affectée sera réactivée à un moment donné après l'application de l'atténuation, nous vous recommandons fortement de mettre à jour vers une version fixe de l'éditeur Unity pour bénéficier des avantages. du patch complet. Vous ne pourrez également plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Web d'Asset Store après avoir appliqué l'atténuation.

Notre objectif actuel est de remédier à la vulnérabilité identifiée dans la version 5.6 et dans toutes les versions officiellement prises en charge jusqu'à la version 2019.2 Alpha. Nous n'avons aucun détail à partager sur les correctifs pour les autres versions pour le moment.

Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients pourront mettre à jour les versions corrigées sans avoir besoin de reconstruire leurs offres groupées, mais certains clients peuvent constater que les importateurs d'actifs ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif de cette version ponctuelle. Pour ces clients, la reconstruction du groupe d’actifs peut être nécessaire.

Vous devrez peut-être reconstruire vos bundles si des actifs sont réimportés lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de l'éditeur Unity.

Références