如何使用 CVE-2017-12939 和 CVE-2019-9197 缓解工具
Unity 编辑器缓解工具是针对安全问题 CVE-2017-12939 和 CVE-2019-9197 的临时解决方法,不应视为对已确认漏洞的完整或长期修复方案。该工具将禁用存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用(系统更改、重新安装等)。强烈建议您更新到 Unity 编辑器的已修复版本。
注意:
应用缓解措施后,您将无法在 Asset Store 的 Web 浏览器版本中使用 Open in Unity 功能(如下所示)。
作为您补救计划的一部分,请查看并准备更新到 Unity 编辑器的某个已修复版本(请访问 CVE-2017-12939 和 CVE-2019-9197)。
使用缓解工具
该工具将修改 Windows,以缓解所确认的漏洞。这项更改只涉及 Unity 编辑器,不会影响到任何其他软件,包括使用 Unity 制作的游戏。
请注意,重新安装包含漏洞的 Unity 编辑器版本会撤销该工具应用的更改,因此您必须重新执行该工具,以确保成功、持久地缓解风险。
安装步骤
- 在此下载缓解工具。
- 直接保存或运行。
- 该工具会向用户请求提升特权等级。如果您启用了用户帐户控制 (UAC)(Windows 中为默认启用),应该会看到应用程序请求提升特权等级和以下提示:
否则,请按“否”或“取消”停止执行,并确保从 Unity 官方网站下载该工具:https://unity.com/security/mitigation
- 开始执行后,按照提示进行操作,如下所示:
如果您已应用缓解措施,或出于某种原因您的计算机不易受到攻击,将显示以下提示:
缓解工具执行完毕后,只需按“OK”按钮,就可以像往常一样继续使用 Unity 编辑器了。
备注:
该缓解措施将移除从 Web 浏览器打开 Asset Store 资源的功能。要下载此类资源,您必须在 Unity 编辑器的 Asset Store 窗口中导航到这些资源。
要在 Unity 编辑器中启动 Asset Store 窗口,请单击 File 菜单,然后单击 Window > Asset Store,或使用键盘快捷键 Ctrl + 9,如下所示:
最后,我们想提醒您,建议的操作是安装 Unity 编辑器的最新修复版本(请访问 CVE-2017-12939 和 CVE-2019-9197),以确保您拥有编辑器的全部功能,并且在重新安装后也能获得保护。