March 2019 Security Update Advisory (CVE-2019-9197)

Сведения об уязвимости

ИДЕНТИФИКАТОР CVE: CVE-2019-9197

Тип Удаленное выполнение кода

Дата обнаружения: 03.10.2022 - 2018/11/15 $

Обнаружено: rgod из команды 9sg Security Team - rgod@9sgsec.com, сотрудничающей с Trend Micro's Zero Day Initiative.

Дата выпуска исправления: 30.01.2023 - 2019/03/04 $

Затронутая операционная система: Windows

Затронутые версии: Все (Windows)

Тяжесть: Высокий

Исправленные версии:

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.

Действия по устранению

Определите версию вашего редактора Unity Editor

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

Unity Version in Window 2

В меню Файл выберите Справка -> О Unity.

About Unity Dropdown

Версия Unity отображается в окне О Unity.

About Unity in Editor

Установить обновление

Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.

Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.

Unity Check for Updates

Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".

Инструмент для смягчения последствий

Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].

Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.

FAQ

Была обнаружена проблема с проверкой строк ввода, которая могла привести к удаленному выполнению кода (RCE), что позволяло злоумышленнику удаленно выполнить код на компьютере пользователя.

Нет. Затронут только редактор Unity.

Только для Windows. Платформы Mac и Linux не затронуты выявленной уязвимостью.

Все версии Windows.

Все версии редактора Unity Editor, работающие под Windows.

Мы выпустили патч для последних версий Unity Editor 5.6 и всех официально поддерживаемых версий вплоть до 2019.2 Alpha. Все последующие версии также включают исправление.

Unity будет выпускать по одному патчу для каждого из самых актуальных, то есть последних обновлений редактора Unity.

Мы предоставляем инструмент для устранения уязвимости, который отключает выявленную уязвимую функцию редактора Unity Editor, который можно загрузить из руководства Mitigation Tool Guide [7].

Пожалуйста, примите во внимание, что это не патч и имеет свои ограничения. Устранение проблемы отключит функцию редактора Unity, признанную уязвимой, но поскольку мы не можем контролировать, будет ли затронутая функциональность снова включена в какой-то момент после применения исправления, мы настоятельно рекомендуем обновить Unity Editor до исправленной версии, чтобы получить преимущества полного исправления. Также после применения смягчения вы больше не сможете использовать функцию "Открыть в Unity" в браузерной версии Asset Store.

Средство устранения последствий можно использовать во всех затронутых версиях редактора Unity.

Пожалуйста, примите во внимание, что это не патч и имеет свои ограничения. Устранение проблемы отключит функцию редактора Unity, признанную уязвимой, но поскольку мы не можем контролировать, будет ли затронутая функциональность снова включена в какой-то момент после применения исправления, мы настоятельно рекомендуем обновить Unity Editor до исправленной версии, чтобы получить преимущества полного исправления. Также после применения смягчения вы больше не сможете использовать функцию "Открыть в Unity" в браузерной версии Asset Store.

Нет, при однократном запуске он деактивирует выявленный уязвимый компонент на всех них. Помните, что повторная установка или обновление (одной) из версий может снова активировать компонент. Чтобы проверить, повторно запустите средство обхода, пока все версии не будут обновлены.

Устранение проблемы отключит функцию редактора Unity, признанную уязвимой, но поскольку мы не можем контролировать, будет ли затронутая функциональность снова включена в какой-то момент после применения исправления, мы настоятельно рекомендуем обновить Unity Editor до исправленной версии, чтобы получить преимущества полного исправления. Также после применения смягчения вы больше не сможете использовать функцию "Открыть в Unity" в браузерной версии Asset Store.

Сейчас мы сосредоточены на устранении выявленной уязвимости в версии 5.6 и всех официально поддерживаемых версиях вплоть до 2019.2 Alpha. На данный момент мы не можем сообщить никаких подробностей об исправлениях для других версий.

Это зависит от конкретной версии редактора Unity, которую вы используете. Большинство клиентов смогут обновиться до исправленных версий без необходимости пересобирать свои пакеты, но некоторые клиенты могут обнаружить, что импортеры активов были обновлены между используемой версией и патчем для данного dot-релиза. Для таких клиентов может потребоваться восстановление пакетов активов.

Вам может потребоваться пересобрать пакеты, если какие-либо активы будут повторно импортированы при первом открытии проекта в исправленной версии Unity Editor.

Ссылки