Unity Technologies 近日披露了一项严重的安全性漏洞,犹如一场地震席卷了整个游戏行业。为保护全球数百万玩家免受潜在威胁,各大开发商正争相发布紧急补丁,并暂时从数字商店中移除了部分受影响的游戏。
该漏洞被命名为 CVE-2025-59489,其严重性评分高达 8.4。它对使用 Unity 2017.1 及更高版本构建的游戏造成影响,覆盖 Windows、Android、macOS 和 Linux 等多个操作系统平台。这个缺陷由 GMO Flatt Security Inc. 的安全研究员 RyotaK 于今年六月发现,它允许不安全的文件加载和本地代码执行。这意味着,恶意攻击者有可能在与受影响游戏相同的权限级别下,运行未经授权的代码,构成严重的安全风险。
主要开发商迅速采取行动
Obsidian Entertainment 已经采取了预防性措施,暂时从数字商店中移除了多款备受瞩目的游戏作品,其中包括《永恒之柱2:死亡之火》、《墨笔》以及包含 Unity 制作艺术集的特定版本《禁闭求生2》和《宣誓》。该工作室明确指出,这些下架行为完全是预防性的,旨在确保玩家在必要的安全更新实施期间免受危害。
《都市:天际线2》的开发商 Colossal Order 迅速响应了这一漏洞,于 10 月 3 日发布了 1.3.5f1 版本,作为一项免费的安全热修复补丁。其他开发商也纷纷效仿,一些工作室已悄然更新其游戏,以整合 Unity 官方发布的补丁。
全平台安全响应措施
Steam 已在其最新的客户端更新中实施了全面的保护措施,不仅阻止游戏利用 Unity 漏洞,还会在检测到任何潜在的攻击尝试时,阻止受影响的游戏启动。此外,该平台现在还显示安全启动(Secure Boot)和 TPM(可信平台模块)的状态信息,以帮助用户更直观地验证其系统安全性。
Google Play 和 Microsoft Defender 也同步更新了其安全系统,以有效检测并阻止该漏洞的传播。尽管如此,Unity 公司强调,目前尚未有证据表明该漏洞已在实际环境中被利用。然而,受此披露消息影响,Unity 的股价下跌了 4.1%,此前汇丰银行将其股票评级从“买入”下调至“持有”,这无疑进一步加剧了市场的负面情绪。
加密货币钱包安全隐忧浮现
安全专家们特别关注该漏洞对集成在 Unity 游戏中的移动加密货币钱包可能造成的潜在影响。这个缺陷有可能允许恶意代码通过“覆盖、输入捕获或屏幕抓取”等技术,秘密窃取用户的钱包凭证或助记词,从而导致严重的资产损失。专注于加密货币的出版物已经紧急建议移动游戏玩家立即更新所有基于 Unity 的游戏,并务必避免从非官方来源侧载应用程序。
Unity 已经发布了针对所有受影响版本(追溯至 2019.1)的补丁,并提供了一个方便开发商使用的二进制补丁工具,用于修复已发布的旧版本游戏。该公司正紧急敦促所有开发商,务必立即使用已打补丁的 Unity 编辑器重建其应用程序,或应用官方提供的二进制补丁,以全面保护其用户免受潜在的漏洞攻击。
