《BOOK OF HOURS》版本更新 - 2025.8 - Unity安全漏洞修复

[注：这个补丁本周早些时候曾短暂上线，但它破坏了自定义键位绑定。我们已将其回滚，现在问题已修复。]

来自可靠的Chelnoque的一系列小改进

• 已完善的技能不再显示升级槽位

• 电影和留声机唱片现在无法被污染

• 在使用按键移动摄像机后立即尝试缩放时，光标锚定更加彻底

• 动词窗口现在（再次）在槽位移除时正确调整大小

• 可制作配方选择有更好的碰撞框

• 更好地支持超宽分辨率

• 边缘滚动现在无论缩放级别如何都保持恒定速度

• 修复了键位重绑定时出现的各种错误

• 在塞文密室中，某个舒适槽位放置区域太短

• 在地形解锁预览窗口中，当预览描述只有单行时，时期图像放置不正确

• 各种日语本地化修复

• Unity安全更新

实际上塞文密室的那个问题是我发现的，感谢写信询问为什么不能把他们的节肢动物朋友放回原处的玩家。我不知道我们怎么会两年来都没发现这个问题。

我会简要谈谈Unity安全更新，因为你们可能和我一样，在Steam库中看到了稳定的更新流，而大多数人对这具体意味着什么有点模糊。（如果你读过我们的，你已经知道这些细节，这篇文章几乎完全相同。）

--

简而言之：这是一个似乎自2017年以来就存在于Unity中的漏洞，但似乎没有人注意到或利用它，因为它相当小众。所以即使在未打补丁的游戏中，你可能也没什么可担心的。

详细版本：我不是网络安全专家，但据我大致理解，任何用Unity构建的游戏都有命令行标志，可以用来告诉你的游戏加载任意代码。像这样：

重要的是，他们无法让游戏从远程位置加载代码。所以有人必须（a）将代码放到你的机器上或本地网络路径中，然后（b）说服你运行相关的命令行，这并不简单。但在Windows上，很容易注册一个应用程序来以指定格式打开任何URL，像这样

所以攻击者诱骗你（a）注册"bookofhours://"作为一个方案，然后（b）让你点击这样的链接

Windows告诉Book 开始运行并提供-overrideMonoSearchPath作为启动参数。可怜的Book 顺从地尝试加载恶意链接中提供的文件，也许它起作用了，如果起作用，你现在就在运行他们的代码。

所以再次强调，有人仍然需要首先说服你运行一个应用程序来注册Book 作为一个方案处理程序，也许你的杀毒软件会标记下载，我不知道，但互联网上充满了聪明的网络混蛋。而对于一个确实因正当原因注册为方案处理程序的游戏来说，这是个更大的问题。

无论哪种方式，现在都已经修复了，为Book 和许多其他游戏！但将会有未维护的游戏永远存在这个漏洞，所以如果有人读到这里，也许我救了他们一次去苦难宫殿的访问¯\_(ツ)_/¯