Уязвимость в Unity, о которой ты уже наверняка в курсе
Уровень материала: 📣 #news
Под конец рабочей недели в пятницу Unity устроили суету, разослав письма, где сообщили о найденной древней масштабной уязвимости. И все чайники тематические чатики обсуждали это все выходные. Суета подулеглась — время закрыть и свой гештальт.
Стоит ли уделять этому внимание: если узнал об этом только сейчас, то можно просто забить.
В остальном, предпринять действия стоит, но чем меньше аудитория, тем меньше поводов для спешки.
Для большинства запланировать апдейт в ближайший релиз будет более чем достаточно.
Уязвимость затрагивает 4 платформы: Android, Windows, Linux и macOS.
И все билды, сделанные на Unity версии 2017.1 и выше, в т.ч. на Unity 6.
Чем опасна уязвимость (перевод источника):
Позволяет выполнять локальный код и получать доступ к конфиденциальной информации на устройствах, где запущены unity-приложения.
Выполнение кода ограничено уровнем привилегий уязвимого приложения.
Раскрытие информации ограничено информацией, доступной уязвимому приложению.
Если раньше всё это время жили-не тужили, то теперь об этой уязвимости знают все, и диванные хакеры могут начать себя развлекать 🎩
Но и современные ОС довольно сильно ограничивают дозволенное для приложений.
Принятые меры:
Valve, Meta, Microsoft и Google уже подсуетились и обновили свои площадки и платформы для подавления уязвимости.
А Unity выкатили обновления для всех своих LTS, начиная с 2019 (2018 и 2017 пока в пролёте). И опубликовали Patcher, который позволяет залатать билд без пересборки (но перевыложить на площадки придётся).
Подробности - в официальном гайде.