What type of vulnerability was addressed in this update?

An input string validation issue was identified that could lead to remote code execution (RCE), allowing an attacker to potentially execute code remotely in the user’s computer.

Does this vulnerability affect built games/applications in any way?

No. Only the Unity Editor is affected.

What platforms are affected?

Windows only. Mac and Linux platforms are not affected by the identified vulnerability.

What versions of Unity are affected?

All versions of the Unity Editor running on Windows.

What versions of the Unity Editor are being patched?

We have released a patch for the following Unity versions: 5.3, 5.4, 5.5, 5.6, and 2017.1. The full details are listed on this page. We will not be patching Unity 4.x, 5.0, 5.1, or 5.2.

Will my specific version be patched?

Unity will be releasing a single patch to each of the most current dot-releases of Unity. For example, users running an older version of Unity 5.3 will need to update to the patched version of 5.3.8. There will be no patches for 5.3.7, 5.3.6, etc.

What about versions older than 5.3?

We are providing a workaround tool that disables the identified vulnerable Unity Editor feature, which can be downloaded from Mitigation Tool Guide [7]. Please understand, though, that the workaround is not a patch and has limitations. The workaround will disable the Unity Editor feature identified as vulnerable, but since we can’t control whether the affected functionality becomes re-enabled at some point after applying the workaround (system changes, reinstallations, etc.), we strongly recommend updating to the latest version of Unity to get the benefits of the full patch. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the workaround.

When will the patch be available?

The updates are available here, in the Patch Versions section.

Does the workaround tool work for versions newer than 5.3? Can I use the workaround tool instead of patching?

The workaround tool can be used on all affected versions of Unity. Please understand, though, that the workaround is not a patch and has limitations: the workaround will disable the identified vulnerable Editor features, but since we can’t control whether the affected functionality becomes re-enabled at some point after applying the workaround (system changes, reinstallations, etc.), we strongly recommend updating to a patched version. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the workaround.

I run multiple versions of Unity, do I have to apply the workaround tool for all of them?

No, by running it once it deactivates the identified vulnerable component across all of them. Do keep in mind that by re-installing or updating (one) of the versions, it may activate the component again. To check, re-run the workaround tool until all versions are up to date.

Can I just use the workaround and never move to a patched version?

The workaround will disable the Unity Editor feature identified as vulnerable, but since we can’t control whether the affected functionality becomes re-enabled at some point after applying the workaround (system changes, reinstallations, etc.), we strongly recommend updating to a patched version. You will also no longer be able to use the ‘Open in Unity’ functionality in the web browser version of the Asset Store after applying the workaround.

How can I get the workaround (or the patches)?

The updates are available here, in the Patch Versions section.

I have a locked-down older version of Unity 5.x.x. Will you produce a patch for the exact version of Unity that I’m using?

Our focus right now is on addressing the identified vulnerability in the most current version of each dot-release. We don’t have any details to share on patches for other versions at this time.

Will I need to rebuild asset bundles due to the update requirement?

It depends on the specific version of Unity that you are using. Most customers will be able to update to the patched versions without needing to rebuild their bundles, but some customers may find that asset importers have been updated between the version they’re currently using and the patch for that dot-release. For those customers, asset bundle rebuilding may be necessary. You definitely won’t need to rebuild bundles if you’re currently using 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1, or 2017.1.0p3.

How do I know if I’ll need to rebuild my asset bundles?

You may need to rebuild your bundles if any assets are re-imported when you first open your project in the patched version of Unity.

Сведения об уязвимости

CVE ID: CVE-2017-12939

Тип: удаленное выполнение кода

Дата обнаружения: 13.08.2017

Заявитель: Rio

Дата выпуска исправления: 18.08.2017

Затронутая операционная система: Windows

Затронутые версии: все (Windows)

Опасность: высокая

Исправленные версии:

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)

Обратите внимание: версия для Mac предоставляется для студий, использующих Windows и Mac. Версия для Mac НЕ затронута выявленной уязвимостью.

Если исправление еще не выпущено, то воспользуйтесь инструментом устранения неполадок [7] (все версии).

В редакторе Unity обнаружена проблема проверки введенного текста, затрагивающая платформу Windows и способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.

Действия по устранению

Определите, какую версию редактора Unity вы установили

Откройте проект Unity.

Версия Unity отображается в заголовке главного окна.

Редактор Unity с отображением версии Unity

Выберите пункт File Help -> About Unity.

Версия Unity указана в окне About Unity.

Установка обновления

Если ваша версия редактора Unity не указана в списке исправленных версий в разделе «Сведения об уязвимости» выше, то вы можете переходить к установке обновления согласно инструкции ниже.

Для установки обновления можно воспользоваться проверкой наличия обновлений редактора Unity (пункт File Help -> Check for Updates.

Также можно загрузить и установить соответствующее исправление для вашей версии редактора Unity. Ссылки для загрузки перечислены в списке исправленных версий в разделе сведений об уязвимости и в разделе ссылок.

Инструмент устранения неполадок

Если ваша версия редактора Unity отсутствует в списке или если вы пока не можете установить обновление, то можете воспользоваться руководством к инструменту устранения неполадок [7].

Напоминание: рекомендуется установить исправленную версию редактора Unity.

FAQ

Какая уязвимость устраняется данным обновлением?

Обнаружена проблема проверки введенного текста, способная привести к удаленному выполнению кода (RCE) злоумышленником на компьютере пользователя.

Эта уязвимость затрагивает уже созданные игры и приложения?

Нет. Затронут только редактор Unity.

Какие платформы затронуты уязвимостью?

Только Windows. Платформы Mac и Linux не затронуты выявленной неисправностью.

Какие версии Windows затронуты уязвимостью?

Все версии Windows.

Какие версии редактора Unity затронуты уязвимостью?

Затронуты все версии редактора Unity для Windows.

К каким версиям редактора Unity применяется исправление?

Мы выпустили исправление для следующих версий Unity: 5.3, 5.4, 5.5, 5.6 и 2017.1. Подробные сведения указаны на этой странице.

Мы не будем выпускать исправления для Unity 4.x, 5.0, 5.1 или 5.2.

Будет ли исправление применено к моей версии?

Unity выпустит одно исправление для каждой из самых современных точечных версий Unity. Например, пользователям более старой версии Unity 5.3 придется перейти на исправленную версию 5.3.8. Исправления для Unity 5.3.7, 5.3.6 и других версий выпускаться не будут.

Будет ли выпущено исправление для более ранних версий, чем Unity 5.3?

Мы выпустили инструмент устранения неполадок, который отключает выявленную уязвимую функцию редактора Unity. Инструмент можно загрузить на странице руководства по использованию инструмента устранения неполадок [7]. При этом помните, что это средство не является исправлением и накладывает ограничения. Инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до последней исправленной версии для использования всех преимуществ исправления. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.

Когда будет выпущено исправление?

Обновления можно загрузить здесь, в разделе «Исправленные версии».

Будет ли выпущено исправление для более поздних версий, чем Unity 5.3? Могу ли я использовать инструмент устранения неполадок вместо исправления?

Инструмент устранения неполадок можно применять ко всем затронутым версиям редактора Unity. Помните, что это средство не является исправлением и накладывает некоторые ограничения: инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до последней исправленной версии. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.

Я использую несколько версий Unity. Инструмент нужно применить к каждой версии?

Нет, для выключения функции достаточно одного запуска. Не забывайте, что переустановка или обновление (одной из) установленных версий может привести к включению уязвимого компонента. Запускайте инструмент, пока все версии не обновятся.

Можно ли просто использовать инструмент устранения неполадок, не переходя на исправленную версию?

Инструмент отключает небезопасные функции редактора Unity, но, поскольку мы не можем гарантировать защиту от включения уязвимых функций после использования инструмента в результате изменений в системе или переустановки, то настоятельно рекомендуем обновить редактор Unity до исправленной версии. После применения этого инструмента вы больше не сможете использовать функцию Open in Unity в браузерной версии Asset Store.

Как загрузить инструмент устранения неполадок (или исправление)?

Обновления можно загрузить здесь, в разделе «Исправленные версии».

Мой процесс разработки привязан к выпуску Unity 5.x.x. Будет ли выпущено исправление для моей версии Unity?

В настоящее время мы сосредоточены на устранении выявленной неисправности в самой последней версии каждого из точечных выпусков. На данный момент у нас нет информации о выпуске исправлений для других версий.

Нужно ли будет пересобирать ассеты после обновления?

Это зависит от того, какую именно версию Unity вы используете. Большинство пользователей может перейти на исправленные версии без необходимости в пересборке, но некоторые могут заметить в исправленной точечной версии изменения средства импорта ассетов по сравнению с предыдущим выпуском. Таким пользователям может потребоваться пересборка ассетов.

Если вы используете Unity 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1 или 2017.1.0p3, то пересборка ассетов вам точно не понадобится.

Как узнать, нужна ли мне пересборка ассетов?

Пересборка ассетов потребуется в случае выполнения повторного импорта при первом открытии проекта в исправленной версии Unity.

Ссылки

[1] 5.3.8p2 (Win) (Mac)
[2] 5.4.5p5 (Win) (Mac)
[3] 5.5.4p3 (Win) (Mac)
[4] 5.6.3p1 (Win) (Mac)
[5] 2017.1.0p4 (Win) (Mac)
[6] 2017.2.0b8 (Win) (Mac)
[7] Руководство по инструменту устранения неполадок

Рекомендации по обновлению безопасности от августа 2017 г. (CVE-2017-12939)