취약점 세부 정보
CVE ID: CVE-2017-12939
유형: 원격 코드 실행
발견 일자: 2017/08/13
발견자: Rio
패치 가능 일자: 2017/08/18
영향을 받는 운영체제: Windows
영향을 받는 버전: 모든 버전(Windows)
심각도: 높음
패치 버전:
- [1] 5.3.8p2 (Win) (Mac)
- [2] 5.4.5p5 (Win) (Mac)
- [3] 5.5.4p3 (Win) (Mac)
- [4] 5.6.3p1 (Win) (Mac)
- [5] 2017.1.0p4 (Win) (Mac)
- [6] 2017.2.0b8 (Win) (Mac)
참고: Mac 버전은 Windows와 Mac을 함께 사용하는 팀 환경을 위해 제공되며 Mac 버전은 발견된 취약점의 영향을 받지 않습니다.
내가 사용하는 버전용 패치가 없는 경우 완화 툴[7](모든 버전)을 사용하세요.
Unity 에디터에서 발견된 입력 문자열 확인 문제는 Windows 플랫폼에 영향을 미쳐 원격 코드 실행(RCE)으로 이어질 수 있으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.
문제 해결 단계
Unity 에디터 버전 확인
Unity 프로젝트를 엽니다.
Unity 버전은 메인 창 제목에 표시됩니다.

File 메뉴에서 Help > About Unity를 선택합니다.

Unity 버전은 About Unity 창에 표시됩니다.

업데이트 설치
사용 중인 Unity 에디터 버전이 위의 취약점 세부 정보 패치 버전 섹션에 나열되지 않은 경우 다음과 같이 업데이트를 설치할 수 있습니다.
업데이트를 설치하려면 File 메뉴의 Help > Check for Updates에서 사용 가능한 Unity 에디터 업데이트를 확인할 수 있습니다.

완화 툴
사용 중인 Unity 에디터 버전이 목록에 없거나, 현재 업데이트를 설치할 수 없는 경우, 완화 툴 가이드[7]를 활용할 수 있습니다.
그러나 수정된 버전의 Unity 에디터를 설치할 것을 권장합니다.
FAQ
원격 코드 실행(RCE)으로 이어질 수 있는 입력 문자열 확인 문제가 발견되었으며, 이를 통해 공격자가 사용자의 컴퓨터에서 원격으로 코드를 실행할 가능성이 있습니다.
아니요. Unity 에디터만 영향을 받습니다.
Windows만 영향을 받습니다. Mac 및 Linux 플랫폼은 발견된 취약점의 영향을 받지 않습니다.
모든 버전의 Windows가 영향을 받습니다.
Windows에서 실행되는 모든 버전의 Unity 에디터가 영향을 받습니다.
Unity 버전 5.3, 5.4, 5.5, 5.6, 2017.1용 패치를 릴리스했습니다. 이 페이지에 전체 세부 정보가 기술되어 있습니다.
Unity 4.x, 5.0, 5.1, 5.2는 패치가 예정되어 있지 않습니다.
유니티는 Unity의 최신 부 릴리스마다 단일 패치를 릴리스할 예정입니다. 예를 들어 구버전인 Unity 5.3을 운용하고 있는 사용자는 패치된 버전인 5.3.8로 업데이트해야 합니다. 5.3.7, 5.3.6 등은 패치되지 않습니다.
유니티가 Unity 에디터에서 발견된 취약 기능을 비활성화하는 차선책 툴을 제공하며, 이는 완화 툴 가이드[7]에서 다운로드할 수 있습니다. 차선책 툴은 패치가 아니며 한계가 있다는 점을 양해해 주시기 바랍니다. 차선책 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 차선책 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로(시스템 변화, 재설치 등), 완전 패치의 이점을 누리려면 Unity 최신 버전으로 업데이트할 것을 강력하게 권고합니다. 아울러 차선책을 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
패치 버전 섹션에서 업데이트를 확인할 수 있습니다.
차선책 툴은 영향을 받는 모든 버전의 Unity 에디터에서 사용할 수 있습니다. 차선책 툴은 패치가 아니며 한계가 있다는 점을 양해해 주시기 바랍니다. 차선책 툴은 취약한 것으로 확인된 에디터 기능을 비활성화하지만, 차선책 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로(시스템 변화, 재설치 등), 패치된 버전으로 업데이트하는 것을 강력하게 권고합니다. 아울러 차선책을 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
아니요, 한 번만 실행하면 모든 버전에서 발견된 취약한 요소가 비활성화됩니다. 다만, 버전 중 하나를 재설치하거나 업데이트하면 해당 요소가 다시 활성화될 수 있다는 점을 유의하세요. 이를 방지하려면 모든 버전이 최신 상태가 될 때까지 차선책 툴을 재실행하세요.
차선책 툴은 Unity 에디터에서 취약한 것으로 확인된 기능을 비활성화하지만, 차선책 적용 후 어느 시점에 해당 기능이 재활성화되는 것을 제어할 수 없으므로(시스템 변화, 재설치 등), 패치된 버전으로 업데이트하는 것을 강력하게 권고합니다. 아울러 차선책을 적용한 후에는 에셋 스토어의 웹 브라우저 버전에서 '유니티에서 열기' 기능을 사용할 수 없게 됩니다.
패치 버전 섹션에서 업데이트를 확인할 수 있습니다.
유니티는 각 부 릴리스의 최신 버전에서 발견된 취약점을 해결하는 데 주력하고 있습니다. 현재로서는 기타 버전 패치에 관하여 밝힐 세부 정보가 없습니다.
사용 중인 Unity의 구체적인 버전에 따라 다릅니다. 대부분 고객은 번들을 재구성할 필요 없이 패치된 버전으로 업데이트할 수 있지만, 일부 고객의 경우 에셋 임포터가 현재 사용 중인 버전과 해당 부 릴리스용 패치 사이에 업데이트되기도 합니다. 해당 고객의 경우 에셋 번들을 재구성해야 할 수도 있습니다.
그러나 현재 5.3.8p1, 5.4.5p4, 5.5.4p2, 5.6.3f1, 2017.1.0p3을 사용하고 있다면 번들을 재구성할 필요가 없습니다.
패치된 Unity 버전에서 프로젝트를 처음 열 때 에셋이 다시 임포트되는 경우 번들을 재구성해야 할 수 있습니다.