March 2019 Security Update Advisory (CVE-2019-9197)
Сведения об уязвимости
ИДЕНТИФИКАТОР CVE: CVE-2019-9197
Тип Удаленное выполнение кода
Дата обнаружения: 03.10.2022 - 2018/11/15 $
Обнаружено: rgod из команды 9sg Security Team - rgod@9sgsec.com, сотрудничающей с Trend Micro's Zero Day Initiative.
Дата выпуска исправления: 30.01.2023 - 2019/03/04 $
Затронутая операционная система: Windows
Затронутые версии: Все (Windows)
Тяжесть: Высокий
Исправленные версии:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
В редакторе Unity Editor на платформе Windows обнаружена проблема с проверкой строк ввода, которая может привести к удаленному выполнению кода (RCE), что позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.
Действия по устранению
Определите версию вашего редактора Unity Editor
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.
В меню Файл выберите Справка -> О Unity.
Версия Unity отображается в окне О Unity.
Установить обновление
Если ваша версия Unity Editor не входит в список, указанный в разделе "Версии патчей с подробностями об уязвимостях " выше, вы можете продолжить установку обновления следующим образом.
Для установки обновления вы можете воспользоваться программой проверки обновлений Unity Editor, доступной в меню Файл -> Справка -> Проверить наличие обновлений.
Кроме того, вы можете загрузить и установить соответствующий патч для вашей версии редактора Unity. Ссылки на загрузку доступны в разделе " Версии патчей " раздела " Подробности об уязвимостях " и в разделе " Ссылки ".
Инструмент для смягчения последствий
Если вашей версии Unity Editor нет в списке или вы не можете установить обновление в данный момент, вы можете воспользоваться руководством по средствам устранения последствий [7].
Пожалуйста, помните, что рекомендуется установить исправленную версию редактора Unity.
FAQ
Какая уязвимость устраняется данным обновлением?
+Влияет ли эта уязвимость каким-либо образом на встроенные игры/приложения?
+Какие платформы затронуты уязвимостью?
+Какие версии Windows затронуты?
+Какие версии Unity затронуты?
+Какие версии редактора Unity подвергаются исправлению?
+Будет ли исправлена моя конкретная версия?
+Что делать с версиями старше 5.6?
+Работает ли средство устранения последствий для версий, более новых, чем 5.6? Можно ли вместо исправления использовать средство защиты?
+Я использую несколько версий Unity, нужно ли применять средство защиты для всех из них?
+Могу ли я просто использовать средство защиты и никогда не переходить на исправленную версию?
+У меня заблокированная старая версия Unity 5.x.x. Будете ли вы выпускать патч именно для той версии Unity, которую я использую?
+Нужно ли будет перестраивать пакеты активов в связи с необходимостью обновления?
+Как узнать, нужно ли перестраивать наборы активов?
+Ссылки
- [1] 2019.2.0a7(Win)
- [2] 2019.1.0b5(Win)
- [3] 2018.3.7f1(Win)
- [4] 2018.2.21f1(Win)
- [5] 2017.4.22f1(Win)
- [6] 5.6.7f1(Win)
- [7] Руководство по средствам смягчения последствий
- [8] Средство защиты