Aviso de atualização de segurança de agosto de 2017 (CVE-2017-12939)
Detalhes da vulnerabilidade
ID DO CVE: CVE-2017-12939
Tipo Execução remota de código
Detectada em: 03/10/2022 2017/08/13
Descoberto por: Rio
Disponibilidade da correção: 30/01/2023 2017/08/18
Sistema operacional afetado: Windows
Versões afetadas: Todos (Windows)
Gravidade: Alta
Versões da correção:
- [5.3.8p2(Win)(Mac)
- [2] 5.4.5p5(Win)(Mac)
- [3] 5.5.4p3(Win)(Mac)
- [4] 5.6.3p1(Win)(Mac)
- [5] 2017.1.0p4(Win)(Mac)
- [6] 2017.2.0b8(Win)(Mac)
Observe: A versão para Mac é fornecida como cortesia para ambientes de equipe que usam Windows e Mac. A versão para Mac NÃO é afetada pela vulnerabilidade identificada.
Se não houver um patch disponível para sua versão, use a Ferramenta de Mitigação [7] (todas as versões).
Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que pode levar à execução remota de código (RCE), permitindo que um invasor execute códigos remotamente no computador do usuário.
Etapas de correção
Determine a versão de seu Unity Editor
Abra um projeto Unity.
A versão do Unity fica visível no título da janela principal.
No menu Arquivo, escolha Ajuda -> Sobre o Unity.
A versão do Unity é mostrada na janela Sobre o Unity.
Instalar atualização
Se a sua versão do Unity Editor não for uma das listadas na seção Versões de correção dos detalhes das vulnerabilidades acima, você poderá continuar com a instalação da atualização da seguinte forma.
Para instalar a atualização, você pode usar o verificador de atualizações do Unity Editor disponível no menu File Help -> Check for Updates.
Além disso, você pode baixar e instalar o patch correspondente para sua versão do Unity Editor. Os links para download estão disponíveis na seção Versões de correções da seção Detalhes de vulnerabilidades e na seção Referências.
Ferramenta de mitigação
Se a sua versão do Unity Editor não estiver listada ou se não for possível instalar a atualização no momento, você poderá usar o Guia da Ferramenta de Mitigação [7].
Lembre-se de que a ação recomendada é instalar uma versão fixa do Unity Editor.
Perguntas frequentes
Foi identificado um problema de validação de string de entrada que pode levar à execução remota de código (RCE), permitindo que um invasor execute códigos remotamente no computador do usuário.
Não. Somente o Unity Editor é afetado.
Somente para Windows. As plataformas Mac e Linux não são afetadas pela vulnerabilidade identificada.
Todas as versões do Windows.
Todas as versões do Unity Editor em execução no Windows.
Lançamos uma correção para as seguintes versões do Unity: 5.3, 5.4, 5.5, 5.6 e 2017.1. Os detalhes completos estão listados nesta página.
Não estaremos corrigindo o Unity 4.x, 5.0, 5.1 ou 5.2.
A Unity lançará um único patch para cada uma das versões ponto mais atuais do Unity. Por exemplo, os usuários que executam uma versão mais antiga do Unity 5.3 precisarão atualizar para a versão corrigida do 5.3.8. Não haverá correções para 5.3.7, 5.3.6, etc.
Estamos fornecendo uma ferramenta de solução alternativa que desativa o recurso vulnerável identificado do Unity Editor, que pode ser baixado do Guia de Ferramentas de Mitigação [7]. No entanto, entenda que a solução alternativa não é um patch e tem limitações. A solução alternativa desativará o recurso do Unity Editor identificado como vulnerável, mas como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da solução alternativa (alterações no sistema, reinstalações, etc.), recomendamos fortemente a atualização para a versão mais recente do Unity para obter os benefícios do patch completo. Você também não poderá mais usar a funcionalidade "Open in Unity" na versão do navegador da Web da Asset Store depois de aplicar a solução alternativa.
As atualizações estão disponíveis aqui, na seção Versões de patches.
A ferramenta de solução alternativa pode ser usada em todas as versões afetadas do Unity. No entanto, entenda que a solução alternativa não é um patch e tem limitações: a solução alternativa desativará os recursos vulneráveis identificados do Editor, mas como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da solução alternativa (alterações no sistema, reinstalações, etc.), recomendamos enfaticamente a atualização para uma versão com patch. Você também não poderá mais usar a funcionalidade "Open in Unity" na versão do navegador da Web da Asset Store depois de aplicar a solução alternativa.
Não, ao executá-lo uma vez, ele desativa o componente vulnerável identificado em todos eles. Lembre-se de que, ao reinstalar ou atualizar (uma) das versões, o componente poderá ser ativado novamente. Para verificar, execute novamente a ferramenta de solução alternativa até que todas as versões estejam atualizadas.
A solução alternativa desativará o recurso do Unity Editor identificado como vulnerável, mas como não podemos controlar se a funcionalidade afetada será reativada em algum momento após a aplicação da solução alternativa (alterações no sistema, reinstalações, etc.), recomendamos enfaticamente a atualização para uma versão corrigida. Você também não poderá mais usar a funcionalidade "Open in Unity" na versão do navegador da Web da Asset Store depois de aplicar a solução alternativa.
As atualizações estão disponíveis aqui, na seção Versões de patches.
Nosso foco, no momento, é abordar a vulnerabilidade identificada na versão mais atual de cada dot-release. No momento, não temos detalhes para compartilhar sobre patches para outras versões.
Isso depende da versão específica do Unity que você está usando. A maioria dos clientes poderá atualizar para as versões corrigidas sem precisar reconstruir seus pacotes, mas alguns clientes podem descobrir que os importadores de ativos foram atualizados entre a versão que estão usando no momento e a correção para esse dot-release. Para esses clientes, pode ser necessária a reconstrução do pacote de ativos.
Você definitivamente não precisará reconstruir os pacotes se estiver usando atualmente o 5.3.8p1, o 5.4.5p4, o 5.5.4p2, o 5.6.3f1 ou o 2017.1.0p3.
Talvez seja necessário reconstruir seus pacotes se algum ativo for reimportado quando você abrir seu projeto pela primeira vez na versão corrigida do Unity.