漏洞详细信息

CVE 编号：CVE-2017-12939

类型远程代码执行

发现：-$100

发现者： 里约

补丁可用性：-$100

受影响的操作系统：Windows

受影响的版本：全部 (Windows)

严重性： 高

补丁版本：

• [1] 5.3.8p2 (Win) (Mac)
• [2] 5.4.5p5 (Win) (Mac)
• [3] 5.5.4p3 (Win) (Mac)
• [4] 5.6.3p1 (Win) (Mac)
• [5] 2017.1.0p4 (Win) (Mac)
• [6] 2017.2.0b8 (Win) (Mac)

请注意：Mac 版本专为使用 Windows 和 Mac 的团队环境提供。Mac 版本不受已发现漏洞的影响。

如果您的版本没有可用的补丁，请使用 缓解工具 [7]（所有版本）。

Unity 编辑器中发现了一个影响 Windows 平台的输入字符串验证问题，该问题可能导致远程代码执行 (RCE)，从而使攻击者能够在用户的计算机中远程执行代码。

补救措施

确定 Unity 编辑器的版本

打开一个 Unity 项目。

Unity 版本显示在主窗口标题中。

在文件菜单中选择 帮助->关于 Unity。

Unity 版本显示在 “关于 Unity” 窗口中。

安装更新

如果您的 Unity 编辑器版本 不是 上面 漏洞详细信息 部分中的 补丁版本 所列出的版本之一，您可以按如下方式继续更新安装。

要安装更新，您可以使用文件菜单 帮助->检查更新中提供的 Unity 编辑器更新检查器。

此外，您还可以下载并安装适合您的 Unity 编辑器版本的相应补丁。下载链接可在 漏洞详细信息 部分的 补丁版本 和 参考 部分找到。

缓解工具

如果您的 Unity 编辑器版本未列出，或者您目前无法安装更新，则可以使用 缓解工具指南 [7]。

请记住，建议的操作是安装固定版本的 Unity 编辑器。

参考资料

• [1] 5.3.8p2 (Win) (Mac)
• [2] 5.4.5p5 (Win) (Mac)
• [3] 5.5.4p3 (Win) (Mac)
• [4] 5.6.3p1 (Win) (Mac)
• [5] 2017.1.0p4 (Win) (Mac)
• [6] 2017.2.0b8 (Win) (Mac)
• [7] 缓解工具指南