Note de mise à jour de sécurité de mars 2019 (CVE-2019-9197)

Détails de la faille

Identifiant CVE : CVE-2019-9197

Type : Exécution de code à distance

Découverte : 15/11/2018

Découverte par : rgod de l'équipe de sécurité 9sg - rgod@9sgsec.com travailler avec Trend Micro's Zero Day Initiative

Disponibilité des correctifs : 04/03/2019

Système d'exploitation concerné : Windows

Versions concernées : Toutes (Windows)

Gravité : Haute

Versions des correctifs : 

  • [1] 2019.2.0a7 (Win), taille = 795,664octets, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), taille = 696,212 kO, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), taille = 570,279kO, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), taille = 580,009kO, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), taille = 527,486kO, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), taille = 554,855kO, md5=d761d8c151007ce2474ddc9d468abc02

Un problème de validation de chaîne d'entrée a été identifié dans l'éditeur Unity et affecte la plateforme Windows, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Étapes de correction

Déterminez la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Éditeur Unity affichant la version d'Unity

Dans le menu Fichier choisissez Help -&gt ; About Unity.

Éditeur Unity avec menu déroulant d'aide

La version Unity s'affiche dans la fenêtre About Unity.

À propos de la fenêtre Unity ouverte dans l'éditeur

Installez la mise à jour

Si votre version de l'éditeur Unity n'est pas l'une de celles indiquées dans les versions de correctifs dans la section Détails des failles ci-dessus, vous pouvez continuer l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour de l'éditeur Unity disponible dans le menu Fichier Help -&gt ; Check for Updates.

Rechercher les mises à jour dans l'éditeur Unity

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions de correctifs de la section Détails des faille et dans la section References.

Outil d'atténuation des risques

Si votre version de l'éditeur Unity n'est pas indiquée ou si vous ne pouvez pas installer la mise à jour pour le moment, vous pouvez utiliser le Guide de l'outil d'atténuation des risques [7].

Souvenez-vous que l'action recommandée est d'installer une version corrigée de l'éditeur Unity.

FAQ

Quels types de faille ont été corrigés dans cette mise à jour ?

Un problème de validation de chaîne d'entrée a été identifié, ce qui pourrait conduire à une exécution du code à distance (RCE), permettant à un cybercriminel d'exécuter potentiellement du code à distance sur l'ordinateur de l'utilisateur.

Cette faille affecte-t-elle les jeux/applications compilés de quelque manière que ce soit ?

Non. Seul l'éditeur Unity est concerné.

Quelles plateformes sont concernées ?

Seulement Windows. Les plateformes Mac et Linux ne sont pas concernées par la faille identifiée.

Quelles versions de Windows sont concernées ?

Toutes les versions de Windows.

Quelles sont les versions concernées de Unity ?

Toutes les versions de l'éditeur Unity fonctionnant sous Windows.

Quelles sont les versions corrigées de l'éditeur Unity ?

Nous avons publié un correctif pour toutes les dernières versions de l'éditeur Unity 5.6 et toutes les versions officiellement compatibles jusqu'à la version 2019.2 Alpha. La mise à jour sera intégrée à toutes les versions futures.

Ma version spécifique sera-t-elle corrigée ?

Unity publiera un seul correctif pour chacune des versions les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.

Qu'en est-il des versions antérieures à la 5.6 ?

Nous fournissons un outil d'atténuation de risques qui désactive la fonctionnalité vulnérable identifiée de l'éditeur Unity et qui peut être téléchargé à partir du Guide de l'outil d'atténuation de risques [7].

Veuillez prendre en compte que l'atténuation de risques n'est pas un correctif et a des limites. L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.

L'outil d'atténuation de risques fonctionne-t-il pour les versions plus récentes que la 5.6 ? Puis-je utiliser l'outil d'atténuation de risques au lieu d'appliquer des correctifs ?

L'outil d'atténuation de risques peut être utilisé sur toutes les versions concernées de l'éditeur Unity.

Veuillez prendre en compte que l'atténuation de risques n'est pas un correctif et a des limites. L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.

J'exécute plusieurs versions de Unity, dois-je appliquer l'outil d'atténuation à chacune d'entre elles ?

Non, en l'exécutant une fois, il désactive le composant identifié comme vulnérable sur chacune des versions. Souvenez-vous qu'en réinstallant ou en mettant à jour l'une des versions, le composant pourra être réactivé. Pour vérification, réexécutez l'outil de contournement jusqu'à ce que toutes les versions soient à jour.

Puis-je utiliser seulement l'outil d'atténuation de risques et ne jamais passer à une version corrigée ?

L'atténuation de risques désactivera les fonctionnalités identifiées comme étant vulnérables de l'éditeur Unity, mais puisque nous ne pouvons pas contrôler si les fonctionnalités affectées seront réactivées à un moment donné après l'atténuation, nous vous recommandons vivement de mettre à jour votre système avec une version corrigée de l'éditeur Unity, afin de bénéficier des avantages d'un correctif complet. Vous ne pourrez plus utiliser la fonctionnalité « Ouvrir dans Unity » dans la version du navigateur Internet de l'Asset Store, après avoir appliqué l'atténuation de risques.

J'ai une ancienne version verrouillée de Unity 5.x.x. Allez-vous fournir un patch pour cette version précise de Unity que j'utilise ?

Nous nous concentrons actuellement sur la correction de la failles identifiée dans la version 5.6 et dans toutes les versions officiellement compatibles jusqu'à la version 2019.2 Alpha. Nous n'avons pas de détails supplémentaires à partager sur les correctifs pour d'autres versions pour le moment.

Faudra-t-il recompiler l'ensemble de mes ressources suite à la demande de mise à jour ?

Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients auront la possibilité d'actualiser vers les versions corrigées sans avoir besoin de recompiler l'ensemble de leurs ressources, mais certains clients peuvent constater que les importateurs de ressources ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour cette mise à jour. Pour ces clients, la recompilation de leur groupe de ressources peut être nécessaire.

Comment savoir si je dois recompiler les ensembles de mes ressources ?

Vous devrez peut-être recompiler l'ensemble de vos ressources si certaines sont réimportées lorsque vous ouvrez votre projet pour la première fois dans la version corrigée de l'éditeur Unity.

Références

Ce site utilise des cookies dans le but de vous offrir la meilleure expérience possible. Consultez notre politique de cookies pour en savoir plus.

Compris