很多人認識 Unity 這個名稱可能是透過手機遊戲,但其實 Unity 這個遊戲引擎經常被用在開發跨平台應用程式。不過 Unity 官方剛剛就證實他們發現了一個潛伏了八年的安全漏洞,如果被惡意分子利用,可以在 Windows PC、Android、macOS 和 Linux 執行任意程式碼。所有使用 Unity 2017.1 或以後版本來開發的遊戲和應用程式都會潛伏這個漏洞,影響範圍難以估計。Unity 方面已經修補漏洞,並密切與各平台合作夥伴合作,作出進一步行動以保護各平台和用戶的安全,並呼籲開發者立即為所開發的程式進行修補更新。
這個漏洞的識別碼為 CVE-2025-59489,CVE 風險等級為高。據 Unity 方面表示,所有使用 2017.1 或以後版本,為 Windows、Android、macOS 和 Linux 開發的遊戲和應用程式可能都存在這漏洞。他們指未有證據顯示這個漏洞已被人利用或對任何用戶與顧客造成傷害。幸好其他平台包括 iOS(包括 visionOS 和 tvOS)、Xbox、Nintendo Switch、Sony PlayStation、已經終止支援的 Windows UWP、Meta Quest VR/MR 眼罩和 WebGL 瀏覽器 API 現時未有發現該漏洞。
Unity 已經為 2019.1 以後所有主要和次要版本推出更新,而對於早至使用 2017.1 的已建置應用程式,如果開發者不想或無法重新建置,Unity 亦已發布二進位修補程序。
Unity 呼籲使用 Unity 2017.1 或以後版本來開發上述 4 個平台遊戲或應用程式的開發者應立即採取行動更新他們的應用程式,並按照官方指引保障用戶安全,並且對已出版的遊戲和應用程式進行修補並重新發布。而如果有專案正在開發,就應該透過 Unity Hub 或 Unity Download Archive 下載 Unity Editor 修補程式,以確保日後所建置的程式受到保護。
防篡改遊戲必須重新發布
雖然 Unity 對早至 2017.1 的遊戲和應用推出修補程式,不過那程式不適用於設有防作弊防篡改的遊戲,因為那個修補程式會觸發防篡改保護,遊戲開發商需要重新建置遊戲再發布。
多個平台紛紛推出緩解措施
今次 Unity 漏洞最讓人擔心的地方,是因為海量短期合約開發但使用經年的益智小遊戲,以至電子櫃枱的使用者介面程式,都可能潛伏了這個漏洞。而那些程式可能已經沒有人去維護,漏洞可能不會有人修補。另外,Android 有很多基於 AOSP (Android Open Source Project 開源計劃) 的第三方平台如機頂盒子或雜嘜平板電腦,也可能處於「冇王管」狀態。
對於這次 Unity 跨平台大規模漏洞,各平台都已經推出或著手加入阻截:
Android
對於透過 Google Play、其他第三方 Android 應用程式商店或直接下載進行分發的 Android 應用程式,Android 內建的惡意軟體掃描及其他安全功能將有助於降低此漏洞對使用者造成的風險。但這並不能取代為受影響應用程式套用修補程式更新的迫切性,而且這保護不適用於與 Google 無關聯的基於 AOSP 的平台。
Steam
Steam 方面剛在當地時間 10 月 2 日發行了 Steam 用戶端更新版本,增加了針對 Unity CVE-2025-59489 的緩解措施,當偵測到有人嘗試利用漏洞時,會阻止透過 Steam 用戶端啟動遊戲。並會對 32-bit 版本的 Windows 新增「生命週期結束」警示,這主要針對 Windows 10 32-bit 版本,該版本將於 2026 年 1 月 1 日上午 10 時(美國時間)終止支援。
Meta Horizon OS(Meta Quest VR/MR 眼罩)
Meta 裝置已實施緩解措施,因此在 Horizon OS 上運行的易受攻擊的 Unity 應用程式,漏洞會無法被利用。
Windows
Microsoft Defender 已更新,將偵測並封鎖該漏洞。
