Birliğe yakın zamanda açıklanan bir güvenlik açığı, güvenlik güncellemelerine ve bazı durumlarda Steam gibi platformlarda oyun çıkarma işlemlerine yol açtı. Sorun, son birkaç yılda yayınlanan çok çeşitli oyunları ve uygulamaları kapsayan 2017.1 ve sonraki sürümleri Unity sürümlerini etkiler. Unity’ye göre, bu Unity güvenlik açığı Android, Windows, MacOS ve Linux için oluşturulan yazılımı etkiler ve geliştiricilerin projelerini güvence altına almaları için derhal eylem önerilir.
Ortak güvenlik açıkları ve maruziyetleri (CVE) sisteminde “yüksek” bir önem derecesi verilen birlik güvenlik açığı, Ryotak olarak bilinen bir güvenlik araştırmacısı tarafından sorumlu bir şekilde bildirilmiştir. Unity’nin topluluk ve savunuculuk direktörü Larry Hryb, mevcut bir sömürü kanıtı olmadığını ve kullanıcılara veya veri ihlallerine zarar vermediğini doğruladı.
Hryb, 3 Ekim’de yayınlanan resmi bir açıklamada, “Proaktif olarak güvenlik açığını ele alan düzeltmeler sağladık ve bunlar zaten tüm geliştiriciler için kullanılabilir.” Dedi.
Etkilenen Unity sürümleri, 2017.1’den itibaren herhangi bir editör sürümünü içerir. Platformun oyun ve uygulama geliştirme ekosisteminde, özellikle Android, Windows ve Linux’ta kapsamlı kullanımı göz önüne alındığında, etkilenen başlıkların kapsamı önemlidir. Geliştiriciler, oyunlarını Unity’nin en son yama sürümlerini kullanarak güncellemeleri veya şirket tarafından sağlanan yeni yayınlanan ikili patcher aracını kullanmaları isteniyor.
Oyun Stüdyoları Birlik Güvenlik Açığı’na Yanıt Veriyor
Oyun endüstrisi zaten tepki vermeye başladı. VGC tarafından bildirildiği gibi, Obsidian Entertainment, Pentiment, Avowed ve Grounded 2 dahil olmak üzere çevrimiçi platformlardan bir önlem olarak geçici olarak çekti.
Diğer stüdyolar, özellikle hala geliştirilmekte olan veya sık sık güncellenen canlı oyunlar için acil durum güncellemelerini zorlamayı seçti. Unity, çeşitli kalkınma senaryoları için özel rehberlik sağlamıştır:
- Geliştiriciler, Yamalı Unity Editor sürümünü Unity Hub veya Unity Download Arşivi aracılığıyla inşa etmeden veya yayınlamadan önce indirmelidir.
- Geliştiricilere yamalı düzenleyiciyi kullanarak yeniden derleme yapmaları tavsiye edilir. Yeniden derleme mümkün değilse, zaten inşa edilmiş uygulamalara Unity’nin yama aracı uygulanabilir.
Bununla birlikte, Unity ayrıca, kurcalamaya dayanıklı veya zikir önleyici mekanizmalar kullanan geliştiricilerin projelerini kaynaktan yeniden inşa etmesi gerektiği konusunda da uyarır, çünkü yama işlemi bu güvenlik özellikleriyle çelişebilir.
Platforma özgü risk ve korumalar
Birlik güvenlik açığı tüm büyük masaüstü ve mobil işletim sistemlerini etkilerken, risk seviyesi değişir. Linux’ta, tehdit Android veya Windows’tan daha düşük kabul edilir. Yine de Unity, tüm geliştiricilerin algılanan platform riskinden bağımsız olarak yamayı uygulamalarını önerir.
Savunmayı desteklemek için, birkaç büyük teknoloji firması şunları yaptı:
- Google: Android’in yerleşik kötü amaçlı yazılımı SCAnne özellikleri kullanıcılar için ek koruma sağlayacaktır, ancak Unity bu önlemlerin yama ihtiyacının yerini almadığını vurgular.
- Microsoft: Savunmacı, pencerelerdeki birlik güvenlik açığını tespit etmek ve engellemek için güncellendi.
- Valf: Steam istemcisi içinde daha fazla önlem almayı taahhüt etti.
- Meta: Sömürü önlemek için Horizon OS’de çalışan uygulamalar için uygulanan hafifletmeler.
Unity, iOS, Xbox, PlayStation, Nintendo Switch ve WebGL gibi platformların savunmasız olma belirtisi göstermediğini belirtti. Bununla birlikte, birden fazla platformu hedefleyen geliştiriciler, tutarlılık ve güvenlik için etkilenmemiş sistemlerde bile en son Unity sürümünü kullanmaya teşvik edilir.
Geliştiriciler ve kullanıcılar için rehberlik
Unity, geliştiricilere potansiyel riskleri en aza indirmek için uygulamalarını güncellemelerini, yeniden derlemelerini veya yamalarını şiddetle tavsiye eder. Tüketiciler için öneri otomatik olarak etkinleştirmektir. Güncellemeler, mevcut antivirüs yazılımı kullanın ve güvenilmeyen kaynaklardan uygulamaları veya oyunları indirmekten kaçının.
Unity’ye göre etkilenen oyun ve uygulamaların kullanıcıları şu anda risk altında değil. Teyit edilmiş istismar veya ihlal yoktu ve şirket, ortaklarıyla birlikte herhangi bir maruziyeti sınırlamak için hızla hareket etti.
Gelecekte benzer sorunları önlemek için Unity, yeni araçlar, penetrasyon testi süreçleri ve daha katı dahili yönergeleri benimseyerek güvenli yazılım geliştirme yaşam döngüsünü (SSDLC) geliştirme sözü verdi. Şirket ayrıca, araştırmacıları herhangi bir güvenlik açıklarını sorumlu bir şekilde bildirmeye teşvik eden BugCrowd aracılığıyla bir hata ödül programı sürdürüyor.
Belirli soruları veya ihtiyaçları olan geliştiriciler için Unity, teknik belgelerin, iyileştirme kılavuzlarının ve yama araçlarının mevcut olduğu CVE Soru -Cevap forumlarında tartışmalar açmıştır.