2019 年 3 月安全更新公告 (CVE-2019-9197)

漏洞详情

CVE ID:CVE-2019-9197

类型:远程代码执行

发现时间:2018 年 11 月 15 日

发现者:9sg 安全团队的 rgod (rgod@9sgsec.com) 与 Trend Micro 的 Zero Day Initiative 合作发现

补丁发布时间:2019 年 3 月 4 日

受影响的操作系统:Windows

受影响的版本:所有 Windows 版本

严重性:

补丁版本:

  • [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

在 Unity 编辑器中发现了一个影响 Windows 平台的输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。

补救措施

确定您的 Unity 编辑器的版本

打开一个 Unity 项目。

主窗口标题中显示了 Unity 的版本。

Unity Editor showing version of Unity

在 File 菜单中,选择 Help > About Unity

Unity Editor with Help dropdown menu

About Unity 窗口中显示了 Unity 的版本。

About Unity window open in editor

安装更新

如果您的 Unity 编辑器版本不是上面漏洞详情部分中补丁版本下列出的版本,则可以按如下所述继续安装更新。

要安装更新,您可以使用 File 菜单 Help > Check for Updates 中提供的 Unity 编辑器更新检查器。

Check for Updates in Unity Editor

此外,您还可以为您的 Unity 编辑器版本下载并安装相应的补丁。您可在漏洞详情部分的补丁版本以及参考资料部分中找到下载链接。

缓解工具

如果上面未列出您的 Unity 编辑器版本,或者您当前无法安装更新,可以参阅缓解工具指南 [7]

请记住,推荐的操作是安装 Unity 编辑器的已修复版本。

常见问题解答

此更新修复了哪种类型的漏洞?

发现了一个输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。

该漏洞是否会影响到已生成的游戏/应用程序?

不会。只有 Unity 编辑器受到影响。

哪些平台受到影响?

只有 Windows。Mac 和 Linux 平台不受该漏洞影响。

哪些版本的 Windows 会受到影响?

所有版本的 Windows。

哪些版本的 Unity 会受到影响?

在 Windows 上运行的所有版本的 Unity 编辑器。

修补的是哪些版本的 Unity 编辑器?

我们发布了一个补丁,适用于最新的 Unity 编辑器版本(5.6 版本)以及 2019.2 Alpha 之前的所有官方支持版本。所有未来版本也将包含该更新。

会修补我的特定版本吗?

Unity 将针对每一个最新的(即最后一次更新的)Unity 编辑器发布补丁。

5.6 之前的版本怎么办?

我们提供了一个缓解工具(可从缓解工具指南 [7] 下载),可禁用 Unity 编辑器中存在该漏洞的功能。

请注意,缓解措施不是补丁,有其局限性。缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。

缓解工具是否适用于 5.6 以后的版本?我可以使用缓解工具而不打补丁吗?

缓解工具可用于所有受影响的 Unity 编辑器版本。

请注意,缓解措施不是补丁,有其局限性。缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。

我运行着多个版本的 Unity,是否必须为所有版本应用缓解工具?

不用。只需运行缓解工具一次,它就会禁用所有 Unity 版本中已确定存在漏洞的组件。请记住,重新安装或更新(一个)版本后,可能会再次激活该组件。要进行检查,请重新运行缓解工具,直到所有版本都变更为最新状态。

我可以只使用缓解工具而不转到已修复版本吗?

缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。

我有一个已锁定的 Unity 5.xx 旧版本。你们会为我使用的这个 Unity 版本制作补丁吗?

我们当前的工作重点是修复在 5.6 及 2019.2 Alpha 之前的所有官方支持版本中发现的漏洞。目前,我们没有任何关于其他版本补丁的细节可以分享。

我是否会因更新要求而需要重新构建资源包?

这取决于您使用的 Unity 编辑器的具体版本。大多数客户在更新到已修复版本后无需重新构建其资源包,但有些客户可能会发现,资源导入器在他们当前使用的版本与针对点版本的补丁之间发生了更新。这些客户可能有必要重新构建资源包。

我如何知道是否需要重建我的资源包?

如果您在 Unity 编辑器的已修复版本中首次打开项目时重新导入了任何资源,则您可能需要重新构建资源包。

参考资料

我们使用 Cookie 来确保为您提供网站的最佳体验。有关更多信息,请访问我们的 Cookie 政策页面

明白了