漏洞详情
CVE ID:CVE-2017-12939
类型:远程代码执行
发现时间:2017 年 8 月 13 日
发现者:Rio
补丁发布时间:2017 年 8 月 18 日
受影响的操作系统:Windows
受影响的版本:所有 Windows 版本
严重性:高
补丁版本:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
请注意:Mac 版本是为使用 Windows 和 Mac 的团队环境提供的。Mac 版本不受该漏洞影响。
如果未提供适用于您的版本的补丁,请使用缓解工具 [7](所有版本)。
在 Unity 编辑器中发现了一个影响 Windows 平台的输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。
补救措施
确定您的 Unity 编辑器的版本
打开一个 Unity 项目。
主窗口标题中显示了 Unity 的版本。

在 File 菜单中,选择 Help > About Unity。

About Unity 窗口中显示了 Unity 的版本。

安装更新
如果您的 Unity 编辑器版本不是上面漏洞详情部分中补丁版本下列出的版本,则可以按如下所述继续安装更新。
要安装更新,您可以使用 File 菜单 Help > Check for Updates 中提供的 Unity 编辑器更新检查器。

缓解工具
如果上面未列出您的 Unity 编辑器版本,或者您当前无法安装更新,可以参阅缓解工具指南 [7]。
请记住,推荐的操作是安装 Unity 编辑器的已修复版本。
常见问题解答
发现了一个输入字符串验证问题,该问题可能导致远程代码执行 (RCE),使攻击者有可能在用户的计算机上远程执行代码。
不会。只有 Unity 编辑器受到影响。
只有 Windows。Mac 和 Linux 平台不受该漏洞影响。
所有版本的 Windows。
在 Windows 上运行的所有版本的 Unity 编辑器。
我们发布了适用于以下 Unity 版本的补丁:5.3、5.4、5.5、5.6 和 2017.1。本页面列出了完整详情。
我们不会修补 Unity 4.x、5.0、5.1 或 5.2。
Unity 将针对每一个最新的 Unity 点版本发布补丁。例如,运行旧版 Unity 5.3 的用户将需要更新到 5.3.8 的已修复版本。不会有针对 5.3.7、5.3.6 等的补丁。
我们提供了一个缓解工具(可从缓解工具指南 [7] 下载),可禁用 Unity 编辑器中存在该漏洞的功能。但请理解,缓解措施不是补丁,有其局限性。缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用(系统更改、重新安装等)。强烈建议您更新到最新的 Unity 版本,以获得完整补丁的好处。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
现在即可在“已修复版本”部分中下载更新。
缓解工具可用于所有受影响的 Unity 版本。但请理解,缓解措施不是补丁,有其局限性:缓解措施将禁用已确认存在漏洞的编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用(系统更改、重新安装等)。强烈建议您更新到已修复版本。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
不用。只需运行缓解工具一次,它就会禁用所有 Unity 版本中已确定存在漏洞的组件。请记住,重新安装或更新(一个)版本后,可能会再次激活该组件。要进行检查,请重新运行缓解工具,直到所有版本都变更为最新状态。
缓解措施将禁用已确认存在漏洞的 Unity 编辑器功能,但我们无法控制受影响的功能是否会在应用缓解措施后的某个时刻重新启用(系统更改、重新安装等)。强烈建议您更新到已修复版本。而且,应用缓解措施后,您也将无法在 Asset Store 的 Web 浏览器版本中使用“Open in Unity”功能。
现在即可在“已修复版本”部分中下载更新。
我们当前的工作重点是修复在每个点版本的最新版本中发现的漏洞。目前,我们没有任何关于其他版本补丁的细节可以分享。
这取决于您使用的 Unity 的具体版本。大多数客户在更新到已修复版本后无需重新构建其资源包,但有些客户可能会发现,资源导入器在他们当前使用的版本与针对点版本的补丁之间发生了更新。这些客户可能有必要重新构建资源包。
如果您当前使用的是 5.3.8p1、5.4.5p4、5.5.4p2、5.6.3f1 或 2017.1.0p3,则肯定不需要重新构建包。
如果您在 Unity 的已修复版本中首次打开项目时重新导入了任何资源,则您可能需要重新构建资源包。