August 2017 Security Update Advisory (CVE-2017-12939)
Сведения об уязвимости
ИДЕНТИФИКАТОР CVE: CVE-2017-12939
Тип Удаленное выполнение кода
Дата обнаружения: 03.10.2022 - 2017/08/13 $
Обнаружено: Rio
Дата выпуска исправления: 30.01.2023 - 2017/08/18 $
Затронутая операционная система: Windows
Затронутые версии: Все (Windows)
Тяжесть: Высокий
Исправленные версии:
- [1] 5.3.8p2(Win)(Mac)
- [2] 5.4.5p5(Win)(Mac)
- [3] 5.5.4p3(Win)(Mac)
- [4] 5.6.3p1(Win)(Mac)
- [5] 2017.1.0p4(Win)(Mac)
- [6] 2017.2.0b8(Win)(Mac)
Обратите внимание: Версия для Mac предоставляется в качестве любезности для команд, использующих Windows и Mac. Версия для Mac НЕ подвержена выявленной уязвимости.
Если патч для вашей версии недоступен, воспользуйтесь инструментом Mitigation Tool [7] (все версии).
В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.
Действия по устранению
Определите версию вашего редактора Unity Editor
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.
В меню Файл выберите Справка -> О Unity.
Версия Unity отображается в окне О Unity.
Установить обновление
Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.
Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.
Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".
Инструмент для смягчения последствий
Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].
Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.
FAQ
Обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.
Нет. Затронут только редактор Unity.
Только для Windows. Платформы Mac и Linux не затронуты выявленной уязвимостью.
Все версии Windows.
Все версии редактора Unity Editor, работающие под Windows.
Мы выпустили патч для следующих версий Unity: 5.3, 5.4, 5.5, 5.6 и 2017.1. Полная информация приведена на этой странице.
Мы не будем обновлять Unity 4.x, 5.0, 5.1 или 5.2.
Unity выпустит по одному патчу для каждой из актуальных дот-версий Unity. Например, пользователям, работающим с более старой версией Unity 5.3, нужно будет обновиться до исправленной версии 5.3.8. Патчей для 5.3.7, 5.3.6 и т.д. не будет.
Мы предоставляем обходной путь, который отключает выявленную уязвимую функцию Unity Editor, который можно загрузить с сайта Mitigation Tool Guide [7]. Однако следует понимать, что это обходное решение не является патчем и имеет свои ограничения. Обходной путь отключит функцию редактора Unity, признанную уязвимой, но поскольку мы не можем контролировать, будет ли затронутая функция снова включена в какой-то момент после применения обходного пути (изменения системы, переустановка и т. д.), мы настоятельно рекомендуем обновить Unity до последней версии, чтобы получить преимущества полного исправления. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.
Обновления доступны здесь, в разделе "Версии патчей".
Средство обхода может быть использовано во всех затронутых версиях Unity. Однако следует понимать, что данное обходное решение не является патчем и имеет свои ограничения: оно отключает выявленные уязвимые функции редактора, но поскольку мы не можем контролировать, будет ли затронутая функциональность снова включена в какой-то момент после применения обходного решения (изменение системы, переустановка и т.д.), мы настоятельно рекомендуем обновить версию до исправленной. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.
Нет, при однократном запуске он деактивирует выявленный уязвимый компонент на всех них. Помните, что повторная установка или обновление (одной) из версий может снова активировать компонент. Чтобы проверить, повторно запустите средство обхода, пока все версии не будут обновлены.
Это решение отключит функцию редактора Unity, признанную уязвимой, но так как мы не можем контролировать, будет ли затронутая функция снова включена в какой-то момент после применения решения (изменения в системе, переустановка и т. д.), мы настоятельно рекомендуем обновить ее до исправленной версии. После применения этого решения вы также не сможете использовать функцию "Открыть в Unity" в веб-браузерной версии Asset Store.
Обновления доступны здесь, в разделе "Версии патчей".
Сейчас мы сосредоточены на устранении выявленных уязвимостей в самой последней версии каждого dot-релиза. На данный момент мы не можем сообщить никаких подробностей об исправлениях для других версий.
Это зависит от конкретной версии Unity, которую вы используете. Большинство клиентов смогут обновиться до исправленных версий без необходимости пересобирать свои пакеты, но некоторые клиенты могут обнаружить, что импортеры активов были обновлены между текущей версией и патчем для этого dot-релиза. Для таких клиентов может потребоваться восстановление пакетов активов.
Вам точно не придется перестраивать пакеты, если вы используете версии 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 или 2017.1.0p3.
Вам может потребоваться пересобрать пакеты, если какие-либо активы будут импортированы заново, когда вы впервые откроете свой проект в исправленной версии Unity.