Aviso de atualização de segurança de março de 2019 (CVE-2019-9197)
Detalhes da vulnerabilidade
ID DO CVE: CVE-2019-9197
Tipo Execução remota de código
Detectada em: 03/10/2022 2018/11/15
Descoberto por: rgod da Equipe de Segurança 9sg - rgod@9sgsec.com trabalhando com a Iniciativa Zero Day da Trend Micro
Disponibilidade da correção: 30/01/2023 2019/03/04
Sistema operacional afetado: Windows
Versões afetadas: Todos (Windows)
Gravidade: Alta
Versões da correção:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5(Win), tamanho= 696.212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
Foi identificado um problema de validação de string de entrada no Unity Editor que afeta a plataforma Windows e que pode levar à execução remota de código (RCE), permitindo que um invasor execute códigos remotamente no computador do usuário.
Etapas de correção
Determine a versão de seu Unity Editor
Abra um projeto Unity.
A versão do Unity fica visível no título da janela principal.
No menu Arquivo, escolha Ajuda -> Sobre o Unity.
A versão do Unity é mostrada na janela Sobre o Unity.
Instalar atualização
Se a sua versão do Unity Editor não for uma das listadas na seção Versões de correção dos detalhes das vulnerabilidades acima, você poderá continuar com a instalação da atualização da seguinte forma.
Para instalar a atualização, você pode usar o verificador de atualizações do Unity Editor disponível no menu File Help -> Check for Updates.
Além disso, você pode baixar e instalar o patch correspondente para sua versão do Unity Editor. Os links para download estão disponíveis na seção Versões de correções da seção Detalhes de vulnerabilidades e na seção Referências.
Ferramenta de mitigação
Se a sua versão do Unity Editor não estiver listada ou se não for possível instalar a atualização no momento, você poderá usar o Guia da Ferramenta de Mitigação [7].
Lembre-se de que a ação recomendada é instalar uma versão fixa do Unity Editor.
Que tipo de vulnerabilidade foi abordada nesta atualização?
+Essa vulnerabilidade afeta de alguma forma os jogos/aplicativos desenvolvidos?
+Quais plataformas são afetadas?
+Quais versões do Windows são afetadas?
+Quais versões do Unity foram afetadas?
+Quais versões do Unity Editor estão sendo corrigidas?
+Minha versão específica será corrigida?
+E quanto às versões anteriores à 5.6?
+A ferramenta de atenuação funciona para versões mais recentes que a 5.6? Posso usar a ferramenta de atenuação em vez de aplicar patches?
+Eu executo várias versões do Unity. Preciso aplicar a ferramenta de atenuação em todas elas?
+Posso usar apenas a ferramenta de atenuação e nunca mudar para uma versão corrigida?
+Tenho uma versão antiga bloqueada do Unity 5.x.x. Você produzirá um patch para a versão exata do Unity que estou usando?
+Precisarei reconstruir os pacotes de ativos devido ao requisito de atualização?
+Como posso saber se precisarei reconstruir meus pacotes de ativos?
+Referências
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1 (Win)
- [4] 2018.2.21f1 (Win)
- [5] 2017.4.22f1 (Win)
- [5.6.7f1(Win)
- [7] Guia de Ferramentas de Mitigação
- [8] Ferramenta de mitigação