您想找什么?

2019 年 3 月安全更新公告 (CVE-2019-9197)

漏洞详情

CVE ID:CVE-2019-9197

类型远程代码执行

发现:2018/11/15

发现者:9sg 安全团队的 rgod - rgod@9sgsec.comTrend Micro 的 Zero Day Initiative 合作

补丁可用性:2019/03/04

受影响的操作系统:Windows

受影响的版本:全部 (Windows)

严厉: 

补丁版本:

  • [1] 2019.2.0a7 (Win),大小= 795,664字节,md5=6fcde1045cc4af7f84ba4f820f5db868
  • [2] 2019.1.0b5 (Win),大小 = 696,212 kB,md5:d2ec9e0dc974adfd0e465ffe2e3f1c23
  • [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
  • [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
  • [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
  • [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02

在 Unity 编辑器中发现一个影响 Windows 平台的输入字符串验证问题,该问题可能导致远程代码执行 (RCE),从而允许攻击者在用户的计算机中远程执行代码。

修正步骤

确定 Unity 编辑器的版本

打开 Unity 项目。

Unity 版本在主窗口标题中可见。

窗口 2 中的 Unity 版本

在“文件”菜单中,选择“ 帮助”->“关于 Unity”。

关于 Unity Dropdown

Unity 版本显示在“ 关于 Unity ”窗口中。

关于编辑器中的 Unity

安装更新

如果您的 Unity 编辑器版本不是上述漏洞详细信息补丁版本部分中列出的版本之一,您可以继续安装更新,如下所示。

要安装更新,您可以使用“文件”菜单“ 帮助 -”检查更新“中提供的 Unity 编辑器更新检查器>。

Unity 检查更新

此外,您可以下载并安装适用于您的 Unity 编辑器版本的相应修补程序。下载链接位于“漏洞详细信息补丁版本”部分和“参考”部分。

缓解工具

如果您的 Unity 编辑器版本未列出,或者您目前无法安装更新,则可以使用缓解工具指南 [7]。

请记住,建议的操作是安装 Unity 编辑器的固定版本。

常见问题解答

此更新中解决了哪些类型的漏洞?

+

此漏洞是否会以任何方式影响构建的游戏/应用程序?

+

哪些平台会受到影响?

+

哪些版本的 Windows 会受到影响?

+

哪些版本的 Unity 会受到影响?

+

正在修补哪些版本的 Unity 编辑器?

+

我的特定版本会被修补吗?

+

5.6 之前的版本怎么办?

+

缓解工具是否适用于 5.6 更新的版本?是否可以使用缓解工具代替修补?

+

我运行多个版本的 Unity,是否必须为所有版本应用缓解工具?

+

我可以只使用缓解工具而从不移动到修补版本吗?

+

我有一个锁定的旧版本的 Unity 5.x.x。你们会为我正在使用的 Unity 的确切版本制作补丁吗?

+

由于更新要求,我是否需要重建资产包?

+

如何知道是否需要重建资产包?

+

参考资料