Aviso de actualización de seguridad de marzo de 2019 (CVE-2019-9197)
Detalles de la vulnerabilidad
CVE ID: CVE-2019-9197
Tipo Ejecución remota de código
Fecha de descubrimiento: 3/10/2022 -USD 2018/11/15
Descubierto por: rgod de 9sg Security Team - rgod@9sgsec.com trabajando con Trend Micro's Zero Day Initiative
Disponibilidad del parche: 30/1/2023 -USD 2019/03/04
Sistema operativo afectado: Windows
Versiones afectadas: Todos (Windows)
Gravedad: Alta
Versiones de parche:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5(Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1(Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1(Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1(Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
Se identificó un problema de validación de cadenas de entrada en el Editor de Unity que afecta a la plataforma Windows que podría conducir a la Ejecución Remota de Código (RCE), permitiendo a un atacante ejecutar potencialmente código de forma remota en el ordenador del usuario.
Pasos de corrección
Determine la versión de su editor Unity
Abra un proyecto Unity.
La versión de Unity es visible en el título de la ventana principal.
En el menú Archivo elija Ayuda -> Acerca de Unity.
La versión de Unity se muestra en la ventana Acerca de Unity.
Instalar actualización
Si su versión del Editor de Unity no es una de las que aparecen en la lista de Versiones de Parche de la sección Detalles de Vulnerabilidades anterior, puede continuar con la instalación de la actualización de la siguiente manera.
Para instalar la actualización puede utilizar el comprobador de actualizaciones del Editor de Unity disponible en el menú Archivo Ayuda -> Buscar actualizaciones.
Además, puede descargar e instalar el parche correspondiente para su versión del editor Unity. Los enlaces de descarga están disponibles en la sección Versiones del parche de la sección Detalles de las vulnerabilidades y en la sección Referencias.
Herramienta de mitigación
Si su versión del Editor de Unity no aparece en la lista, o no puede instalar la actualización en este momento, puede utilizar la Guía de herramientas de mitigación [7].
Tenga en cuenta que la acción recomendada es instalar una versión fija del Editor de Unity.
Preguntas frecuentes
¿Qué tipo de vulnerabilidad se abordó en esta actualización?
+¿Afecta de algún modo esta vulnerabilidad a los juegos/aplicaciones creados?
+¿Qué plataformas se ven afectadas?
+¿Qué versiones de Windows están afectadas?
+¿Qué versiones de Unity están afectadas?
+¿Qué versiones del editor de Unity se están parcheando?
+¿Estará mi versión específica parcheada?
+¿Qué ocurre con las versiones anteriores a la 5.6?
+¿Funciona la herramienta de mitigación para versiones anteriores a la 5.6? ¿Puedo utilizar la herramienta de mitigación en lugar de parchear?
+Tengo varias versiones de Unity, ¿tengo que aplicar la herramienta de mitigación para todas ellas?
+¿Puedo utilizar únicamente la herramienta de mitigación y no pasar nunca a una versión parcheada?
+Tengo una versión antigua bloqueada de Unity 5.x.x. ¿Producirás un parche para la versión exacta de Unity que estoy usando?
+¿Tendré que reconstruir los paquetes de activos debido al requisito de actualización?
+¿Cómo sé si tendré que reconstruir mis paquetes de activos?
+Referencias
- [1] 2019.2.0a7 (Win)
- [2] 2019.1.0b5 (Win)
- [3] 2018.3.7f1(Win)
- [4] 2018.2.21f1(Win)
- [5] 2017.4.22f1(Win)
- [6] 5.6.7f1(Win)
- [7] Guía de herramientas de mitigación
- [8] Herramienta de mitigación