漏洞详情
CVE ID:CVE-2019-9197
类型:远程代码执行
发现时间:2018 年 11 月 15 日
发现者:9sg 安全团队的 rgod (rgod@9sgsec.com) 与 Trend Micro 的 Zero Day Initiative 合作发现
补丁发布时间:2019 年 3 月 4 日
受影响的操作系统:Windows
受影响的版本:所有 Windows 版本
严重性:高
补丁版本:
- [1] 2019.2.0a7 (Win), size= 795,664bytes, md5=6fcde1045cc4af7f84ba4f820f5db868
- [2] 2019.1.0b5 (Win), size= 696,212 kB, md5: d2ec9e0dc974adfd0e465ffe2e3f1c23
- [3] 2018.3.7f1 (Win), size=570,279kB, md5=6fcde1045cc4af7f84ba4f820f5db868
- [4] 2018.2.21f1 (Win), size=580,009kB, md5=1b87b98c936c81148a99c879386e676c
- [5] 2017.4.22f1 (Win), size=527,486kB, md5=8cb0783f22dc5bfc80d2f170472aefbf
- [6] 5.6.7f1 (Win), size=554,855kB, md5=d761d8c151007ce2474ddc9d468abc02
在 Unity 编辑器中发现了一个影响 Windows 平台的输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。
补救措施
确定您的 Unity 编辑器的版本
打开一个 Unity 项目。
主窗口标题中显示了 Unity 的版本。

在 File 菜单中,选择 Help > About Unity。

About Unity 窗口中显示了 Unity 的版本。

安装更新
如果您的 Unity 编辑器版本不是上面漏洞详情部分中补丁版本下列出的版本,则可以按如下所述继续安装更新。
要安装更新,您可以使用 File 菜单 Help > Check for Updates 中提供的 Unity 编辑器更新检查器。

缓解工具
如果上面未列出您的 Unity 编辑器版本,或者您当前无法安装更新,可以参阅缓解工具指南 [7]。
请记住,推荐的操作是安装 Unity 编辑器的已修复版本。
常见问题解答
发现了一个输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。
不会。只有 Unity 编辑器受到影响。
只有 Windows。Mac 和 Linux 平台不受该漏洞影响。
所有版本的 Windows。
在 Windows 上运行的所有版本的 Unity 编辑器。
我们发布了一个补丁,适用于最新的 Unity 编辑器版本(5.6 版本)以及 2019.2 Alpha 之前的所有官方支持版本。所有未来版本也将包含该更新。
Unity 将针对每一个最新的(即最后一次更新的)Unity 编辑器发布补丁。
我们提供了一个缓解工具(可从缓解工具指南 [7] 下载),可禁用 Unity 编辑器中存在该漏洞的功能。
请注意,缓解措施不是补丁,有其局限性。缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
缓解工具可用于所有受影响的 Unity 编辑器版本。
请注意,缓解措施不是补丁,有其局限性。缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
不用。只需运行缓解工具一次,它就会禁用所有 Unity 版本中已确定存在漏洞的组件。请记住,重新安装或更新(一个)版本后,可能会再次激活该组件。要进行检查,请重新运行缓解工具,直到所有版本都变更为最新状态。
缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用。强烈建议您更新到 Unity 编辑器的已修复版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
我们当前的工作重点是修复在 5.6 及 2019.2 Alpha 之前的所有官方支持版本中发现的漏洞。目前,我们没有任何关于其他版本补丁的细节可以分享。
这取决于您使用的 Unity 编辑器的具体版本。大多数客户在更新到已修复版本后无需重新构建其资源包,但有些客户可能会发现,资源导入器在他们当前使用的版本与针对点版本的补丁之间发生了更新。这些客户可能有必要重新构建资源包。
如果您在 Unity 编辑器的已修复版本中首次打开项目时重新导入了任何资源,则您可能需要重新构建资源包。