遊戲引擎大廠 Unity 近日公布一項潛藏長達近 8 年的安全漏洞「CVE-2025-59489」,可能讓駭客藉機在玩家電腦上執行惡意程式碼或竊取資料,Unity 官方強烈呼籲開發者與玩家立即更新軟體,避免成為攻擊目標。
該漏洞影響的範圍極廣,幾乎所有自 2017.1 版以後製作的 Unity 專案都在名單之中,涵蓋 Android、Windows、macOS 與 Linux 平台。
漏洞於 2025 年 6 月 4 日被發現,並在 10 月 2 日完成修補。
由於涉及檔案載入的安全性問題,攻擊者有機會透過控制指令列參數,讓應用程式在啟動時載入惡意共享程式庫,進而達成本機程式碼執行或竊取資料的目的。
Unity 將其列為高風險等級,CVSS 評分達 8.4 分,雖目前沒有發現實際被利用的案例,但潛在威脅不可小覷。
Unity 建議開發者儘速採取行動,使用修補後的版本重新編譯,並發布更新後的遊戲或應用程式,引擎更新版本可透過 Unity Hub(連結請點我)或 Unity Download Archive(連結請點我)取得。
若無法重建專案,官方也提供適用於 Android、Windows 和 macOS 的修補工具(連結點我),但不支援 Linux,也無法用於含防篡改或反作弊功能的軟體版本。
對於 Linux 版本,Unity 建議直接使用新版 Editor 重新建置,以徹底移除漏洞。官方也表示,更新修補並不太可能造成遊戲相容性問題。
玩家端的防護也同步跟進。
Valve 已在 10 月 4 日針對 Steam 客戶端釋出更新,能在遊戲啟動時偵測並封鎖攻擊行為;Microsoft Defender 更新防護資料庫;Android 裝置則能透過內建安全掃描機制偵測受影響的應用程式。
日媒報導,這起 Unity 漏洞由日本資安公司 GMO Flatt Security 研究員 RyotaK 於今年五月舉辦的臉書母公司舉辦的漏洞賞金活動「Meta Bug Bounty Researcher Conference 2025」發現。
由於漏洞嚴重程度高,他獲得大會「Most Impact Award」,並在同場活動中總計通報 15 項未曾公開過的 Bug,成為當屆最具影響力的研究者之一。相關單位在完成修補與部署防護措施後,才於 10 月正式公開漏洞資訊。
Unity 遊戲引擎雖普及,但潛藏的安全風險絕不能忽視,對開發者而言,盡快更新並重新發佈作品是避免災難的關鍵;玩家則須保持 Steam、系統與遊戲版本的最新狀態,也是保護自身資安的日常功課。
:quality(60):no_upscale()/https%3A%2F%2Fimg.4gamers.com.tw%2Fpuku-clone-version%2F17a49290db449e4e26bce4477e3cc68d7056cf72.jpg)