What type of vulnerability was addressed in this update?

An input string validation issue was identified that could lead to Remote Code Execution (RCE), allowing an attacker to potentially execute code remotely in the user’s computer.

Does this vulnerability affect built games/applications in any way?

No. Only the Unity Editor is affected.

What platforms are affected?

Windows only. Mac and Linux platforms are not affected by the identified vulnerability.

What versions of Unity are affected?

All versions of the Unity Editor running on Windows.

What versions of the Unity Editor are being patched?

We have released a patch for the latest Unity Editor versions of 5.6 and all officially supported versions up to 2019.2 Alpha. All future versions will contain the update as well.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current, i.e., last update of the Unity Editor.

What about versions older than 5.6?

We are providing a mitigation tool that disables the identified vulnerable feature of the Unity Editor which can be downloaded from the Mitigation Tool Guide [7]. Please take into account that the mitigation is not a patch and has limitations. The mitigation will disable the Unity Editor feature identified as vulnerable, but since we can not control whether the affected functionality becomes re-enabled at some point after applying the mitigation, we strongly recommend updating to a fixed version of the Unity Editor to get the benefits of the full patch. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the mitigation.

Does the mitigation tool work for versions newer than 5.6? Can I use the mitigation tool instead of patching?

The mitigation tool can be used on all affected versions of the Unity Editor. Please take into account that the mitigation is not a patch and has limitations. The mitigation will disable the Unity Editor feature identified as vulnerable, but since we can not control whether the affected functionality becomes re-enabled at some point after applying the mitigation, we strongly recommend updating to a fixed version of the Unity Editor to get the benefits of the full patch. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the mitigation.

I run multiple versions of Unity, do I have to apply the mitigation tool for all of them?

No, by running it once it deactivates the identified vulnerable component across all of them. Do keep in mind that by re-installing or updating (one) of the versions, it may activate the component again. To check, re-run the workaround tool until all versions are up to date.

Can I just use the mitigation tool and never move to a patched version?

The mitigation will disable the Unity Editor feature identified as vulnerable, but since we can not control whether the affected functionality becomes re-enabled at some point after applying the mitigation, we strongly recommend updating to a fixed version of the Unity Editor to get the benefits of the full patch. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the mitigation.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerability in 5.6 and all officially supported versions up to 2019.2 Alpha. We do not have any details to share on patches for other versions at this time.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of the Unity Editor that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they are currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary.

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of the Unity Editor.

Сведения об уязвимости

CVE ID: CVE-2019-9197

Тип: удаленное выполнение кода

Дата обнаружения: 15.11.2018

Заявитель: команда безопасности rgod of 9sg - rgod@9sgsec.com в сотрудничестве с инициативой Trend Micro Zero Day

Дата выпуска исправления: 04.03.2019

Затронутая операционная система: Windows

Затронутые версии: все (Windows)

Опасность: высокая

Исправленные версии:

[1] 2019.2.0a7 (Win), объем = 795,664 Б, md5=6fcde1045cc4af7f84ba4f820f5db868
[2] 2019.1.0b5 (Win), объем = 696,212 кБ, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
[3] 2018.3.7f1 (Win), объем = 570,279 кБ, md5=6fcde1045cc4af7f84ba4f820f5db868
[4] 2018.2.21f1 (Win), объем = 580,009 кБ, md5=1b87b98c936c81148a99c879386e676c
[5] 2017.4.22f1 (Win), объем = 527,486 кБ, md5=8cb0783f22dc5bfc80d2f170472aefbf
[6] 5.6.7f1 (Win), объем = 554,855 кБ, md5=d761d8c151007ce2474ddc9d468abc02

В редакторе Unity обнаружена проблема проверки введенного текста, затрагивающая платформу Windows и способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.

Действия по устранению

Определите, какую версию редактора Unity вы установили

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

Редактор Unity с отображением версии Unity

Выберите пункт File Help -> About Unity.

Версия Unity указана в окне About Unity.

Установка обновления

Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.

Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок.

Инструмент устранения неполадок

Если ваша версия редактора Unity отсутствует в списке или если вы пока не можете установить обновление, то можете воспользоваться руководством к инструменту устранения неполадок [7].

Напоминание: рекомендуется установить исправленную версию редактора Unity.

FAQ

Какая уязвимость устраняется данным обновлением?

Обнаружена проблема проверки введенного текста, способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.

Эта уязвимость затрагивает уже созданные игры и приложения?

Нет. Затронут только редактор Unity.

Какие платформы затронуты уязвимостью?

Только Windows. Платформы Mac и Linux не затронуты выявленной неисправностью.

Какие версии Windows затронуты уязвимостью?

Все версии Windows.

Какие версии редактора Unity затронуты уязвимостью?

Затронуты все версии редактора Unity для Windows.

К каким версиям редактора Unity применяется исправление?

Мы выпустили исправление для последних версий редактора Unity 5.6 и всех официально поддерживаемых версий вплоть до альфа-версии 2019.2. Все последующие версии также включают исправление.

Будет ли исправление применено к моей версии?

Unity выпустит одно исправление для каждой из самых современных версий, то есть для последнего обновления редактора Unity.

Будет ли выпущено исправление для более ранних версий, чем Unity 5.6?

Мы выпустили инструмент устранения неполадок, который отключает выявленную уязвимую функцию редактора Unity. Инструмент можно загрузить из руководства по использованию инструмента устранения неполадок [7].

Помните, что инструмент устранения неполадок не является исправлением и имеет ряд ограничений. Этот инструмент отключает небезопасные функции редактора Unity, но поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента, мы настоятельно рекомендуем обновить редактор Unity до исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.

Можно ли применять инструмент устранения неполадок в более поздних версиях, чем Unity 5.6? Могу ли я использовать инструмент устранения неполадок вместо исправления?

Инструмент устранения неполадок можно применять ко всем затронутым версиям редактора Unity.

Я использую несколько версий Unity. Инструмент нужно применить к каждой версии?

Нет, для выключения функции достаточно одного запуска. Не забывайте, что переустановка или обновление (одной из) установленных версий может привести к включению уязвимого компонента. Запускайте инструмент, пока все версии не обновятся.

Можно ли просто использовать инструмент устранения неполадок, не переходя на исправленную версию?

Этот инструмент отключает небезопасные функции редактора Unity, но поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента, мы настоятельно рекомендуем обновить редактор Unity до исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.

Мой процесс разработки привязан к выпуску Unity 5.x.x. Будет ли выпущено исправление для моей версии Unity?

В настоящее время мы занимаемся устранением уязвимости в Unity 5.6 и всех официально поддерживаемых версиях вплоть до альфа-версии 2019.2. На данный момент у нас нет информации о выпуске исправлений для других версий.

Нужно ли будет пересобирать ассеты после обновления?

Это зависит от того, какую именно версию редактора Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.

Как узнать, нужна ли мне пересборка ассетов?

Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии редактора Unity.

Ссылки

[1] 2019.2.0a7 (Win)
[2] 2019.1.0b5 (Win)
[3] 2018.3.7f1 (Win)
[4] 2018.2.21f1 (Win)
[5] 2017.4.22f1 (Win)
[6] 5.6.7f1 (Win)
[7] Руководство по инструменту устранения неполадок
[8] Инструмент устранения неполадок

Рекомендации по обновлению безопасности от марта 2019 г. (CVE-2019-9197)