全球知名的遊戲與應用程式開發引擎 Unity 近日公布了一項潛伏已久的高嚴重性安全漏洞,編號為 CVE-2025-59489,其 CVSS 風險評分高達 8.4。此漏洞影響範圍極廣,涵蓋自 2017.1 以後所有 Unity 版本所開發的應用程式,橫跨 Android、Windows、macOS 與 Linux 等多個平台。由於 Unity 在開發社群中的普及性,此事件已引發連鎖效應,多家軟體巨擘與遊戲平台正採取緊急應對措施。
漏洞核心:一道可被濫用的偵錯後門
根據資安公司 GMO Flatt Security 的工程師 RyotaK 分析,此漏洞的根源在於 Unity 引擎為支援 Android 設備應用偵錯而設計的機制。為了方便開發者進行偵錯,Unity 會自動在應用程式的主要活動(Activity)中加入一個意圖(Intent)處理程序。這個程序允許外部透過傳遞包含 unity 的額外參數(extra)來啟動應用,而這些參數會被直接當作命令列參數傳遞給 Unity 引擎核心。
問題在於,任何應用程式都能發送這個特定的意圖給另一個 Unity 應用。攻擊者可以藉此精心設計一個惡意 App,該 App 會先在設備上釋放一個惡意的原生函式庫(native library),然後透過意圖啟動目標 Unity 應用,並在命令列參數中指向該惡意函式庫的路徑。一旦 Unity 引擎載入此函式庫,攻擊者便能成功在受害應用的權限範圍內執行任意程式碼。
潛在風險與實際影響
Unity 官方坦言,成功利用此漏洞的攻擊者,可能遠端執行程式碼並存取設備上該應用程式有權讀取的資訊。不過,程式碼執行的權限將被侷限於受害應用本身,而資訊洩露的範圍也僅限於該應用可存取的資料。但官方也強調了幾項關鍵事實:
1、資訊外洩需有前提條件:這個漏洞並非自動發生。使用者設備上需要已存在惡意檔案或應用,攻擊者才能觸發此漏洞。換言之,一個未經修補的老遊戲本身並不會「無中生有」地產生威脅。
2、Windows 風險較高:在 Windows 平台上,如果受害應用註冊了自訂的 URI 協議(custom URI scheme),攻擊者可能透過誘騙使用者點擊一個惡意連結來觸發漏洞,無需直接的命令列存取權限,這使得攻擊路徑更為直接。
3、目前尚無實際攻擊案例:截至目前,Unity 表示尚未發現任何利用此漏洞的實際攻擊證據,也沒有使用者或客戶因此受到影響。
儘管如此,此漏洞的影響範圍極其廣泛。Unity 官方數據顯示,在排名前 1,000 的手機遊戲中,超過 70% 是使用 Unity 開發的。這意味著潛在受影響的應用程式數量相當龐大。
各大廠商的緊急應變
此漏洞一經揭露,各大軟體與遊戲平台迅速採取行動:
Unity:官方已釋出多個修補後的 Unity 編輯器版本,並向下支援至已停止維護的 2019.1 版。官方強烈建議開發者立即更新編輯器,並重新建置、部署其應用程式。對於無法重新建置的專案,Unity 也提供了已修補的 UnityPlayer.dll 執行階段檔案供開發者直接替換。
Microsoft:微軟已著手識別受影響的遊戲與應用,並在其 Microsoft Defender 中加入了針對此漏洞的攻擊偵測規則。同時,為了確保使用者安全,微軟已暫時從各大商店下架了多款遊戲,包括《Fallout Shelter》、《Pentiment》、《Wasteland Remastered》及《Wasteland 3》等。微軟建議,在更新釋出前,已安裝這些遊戲的玩家可以「暫時將其解除安裝」。
此圖中的遊戲純屬虛構
Steam:Steam 平台發布了新的客戶端更新,直接封鎖了包含四種與此漏洞相關的命令列參數的遊戲啟動請求,同時也向開發者社群發出指引,敦促其盡快使用新版 Unity 或修補後的執行檔來更新遊戲,並提交至 Steam。
許多玩家可能會驚訝地發現,一些許久未更新的老遊戲,例如《Overcooked 2》,近期突然收到了更新,而這正是開發團隊為修補此漏洞所採取的行動。台灣在 Steam 上知名的遊戲如《活俠傳》等等,也陸續推出了更新,同樣都是修補這個漏洞的措施。
本文題圖及配圖由 Google Gemini AI 生成
