https://reurl.cc/2QqdKa
https://unity.com/cn/security/sept-2025-01/remediation
游戏引擎大厂Unity公开自家安全漏洞CVE-2025-59489
恶意攻击者可以透过Unity加载过程绕过权限安插恶意程式。
CVSS等级：8.4 (通用漏洞评分系统，最严重10分)
》影响范围包含:
2017.1版之后所有使用Unity建立的Android、Windows、Linux、macOS游戏
》官方建议：
所有受影响专案的开发者都应该必须立刻采取行动。
以最新版本的Unity将游戏重新打包
。本漏洞由日本资安公司GMO Flatt Security 研究员 RyotaK
于2025年5月在Meta举办的资安漏洞悬赏活动中发现，
由于本漏洞的影响范围之大，
RyotaK在该活动中拿下首奖以及最有影响力奖。
https://scan.netsecurity.ne.jp/article/2025/09/03/53550.html
。目前Steam已更新客户端，能够阻止恶意攻击者试图使用此漏洞
只要你透过最新版本的Steam客户端而非网页指令之类的方式启动游戏，就是安全的，
攻击者必须先诱骗受害者下载恶意软件，再诱骗受害者启用这个漏洞才能成功
未更新的游戏不会自己长出病毒
https://reurl.cc/vLNZEl
。微软发出公告
Fallout Shelter
Wasteland 3
鬼线 东京
永恒之柱系列
等多款使用Unity开发的游戏已经下架，待处理完毕后重新上架
并且告知使用者在微软处理完毕前建议移除这些游戏
https://reurl.cc/yAV3XE
。由于Unity使用非常广泛，目前约有七成的手机游戏都受此漏洞影响
https://reurl.cc/VWVdqA

出大事

真的很大条

大的来了

所以有哪些游戏啊 有列表吗

不是写了 所有2017.1版后开发的游戏

文章都写版本了

干这超多耶

2017以后也太多 H-game 就不知道多少款了

就这还想多收钱

7成 直接默认你手上的游戏一定有中标就好了==

那这样超级多了

完了完了要变僵尸了

原铁绝都是用unity做的 会不会其实

(′・ω・`) 还想按装机数收费 应该按装机数赔偿吧

妮档我记得也是用unity.....

不过要有更新的，在这之前先开停止自动更新吧

终末地好像也是…？

一大堆

70%根本极广泛

你的个资可能又又又再一次被盗了

除了近年用ue5自嗨做的手游，或者小游戏以外应该全中标

现在手游有谁是unity，我记得方舟是

魔改unity应该不包括在内 不过是中国开发的

范围也太太太太大

难怪我昨天梦到我的gmail被盗帐号拿去推广卖炸鸡

FGO昨天紧急叫安卓更新，难得= =

虚幻跟unity有关联吗？不太懂这个问一下

魔改版原本的漏洞也会在吧 除非刚好是魔改掉的地方

挖靠，出超级大事诶

好眼熟 是档案前阵子出的那件事吗?

顾一堆DEI当开发的下场

2017已经是8、9年前的事了，将近这10年完全没有用过更新还在这版本的真的会有这种人？

这下有趣了

2017年后的每种版本都有这漏洞吧

吓的我把库里的unity黄游全砍了

很多虚假广告粪手游都是unity

2017版“之后所有”

干

是2017版含之后 又不是只有2017版

难怪看到丝之歌突然要更新

2017版“之后所有” 为什么AmeNe讲的好像是2017年版?

这是2017年开始的漏洞吧，居然埋了这么久才被发现

我说的是还停留在2017以前，完全没有更新过版本= =

sv2是unity吗

“2017.1版之后所有使用Unity建立”前面有人没看懂吧，这之前的反而没事

小规模的独立游戏大多是unity吧

是这之后的才有事

这是强迫开发者更新吧 要为了漏洞除错到疯掉了吗

太扯了吧

"2017版之后所有" 到底要怎么理解才能理解成只有2017版

2017之后的所有版本不是只有2017

那些独立游戏很难更新吧

虚幻是Unreal (EPIC开发的)，Unity是Unity

家机又逃过一劫

……我当然知道2017以后都有这问题啊

这范围之大 你干脆叫我把全部游戏都解除安装= =

超多的耶，多到不行

直接说全中可能比较快

2017.1所有之后的所有版本都有危险 这跨度也太大了==干脆跟我说把所有unity做的游戏解除安装比较快

你看过去的游戏，只要用这家引擎的基本都中了。

我换个说法，谁还停留在10年前完全不更新这样可以懂我的意思吗= =

这破东西之前不是还喊着要收费 就这?

难怪塔克夫优化大变

这近10年的游戏几乎都踩到，捅了一波大的

最后纪元好像也是

那你这问题不就废问 正常开发者本来就不会特意锁2017之前

然后现在才讲其实也晚了 早就裸奔不知道多久了

十年前的游戏，你可能要玩个轩辕剑三才能没事

是有极少的可能游戏做很久 但不又想更新环境啊但就很个案

叫的出名字的手游9成是

喔看懂了，2017年到现在没中的确实不太可能

查了一下 很神奇的是受影响主流平台除了iOS以外其他全有

不是，我原说法也不是真心问这个的啊，反讽要加个括号吗

PAD肯定就没事都10周年了

2017 这也太久了吧 你有持续追新游戏的话 100%中标

但不同的漏洞细节在不同平台从不同的版本开始有问题

直接把手机电脑砸掉比较快 等漏洞补再买

活侠呢？

所以苹果没事?

这也要有门路在你电脑里塞东西等你开游戏才能跑

这就默认所有游戏都中标啊

一般电脑玩家影响不大啦==

干 你这干脆叫人整台重灌好了==

活侠也是w

游戏全部卸载等更新囉

我Steam现在待更新有4款 只有一款注记安全性更新不知道要怎样 白痴unity==

老话一句，养成良好习惯不要乱执行奇怪的档案就有可以防八成毒害

完了完了 大鸡鸡视讯要被人偷看到了

有差逆 不知道裸奔多久了现在才讲

真有骇客要搞就是世界大乱

RCE漏洞就是影响超级严重但能触发的场合很可能办不到 例如有些可能是9.9分但要物理接触机器才能使用 这就...还是预防吧

我玩的SEGA手游有公告没中标

靠腰 那这样一堆小黄油都中招了阿

活侠传也是吧

三小啊= =

所以是要怎样 全部游戏删光？

weeeeee

简单的说就是所有unity游戏吧

但用AI整理了一下 从2017开始但不是到现在为止的最新版本有些分支和子版本从2021就开始修了 应该可以理解成这个漏洞

哭啊 一堆瑟瑟游戏中枪

三小 这样铁原绝得先删掉吗

意思是可以用unity引擎当作entry point神不知鬼不觉的装后门程式对吧

影响范围是2017版本到(2021-2023看你用哪个版本)

有办法os补漏洞吗 还是一定要游戏开发商自己补

都说得开发者自己重新包装了

哇靠这个厉害了

地图砲的毁灭型漏洞.....

用这个引擎的一拖拉库吧

黄油中枪机率应该高很多，长时间更新的游戏不一定会更新unity版本，啊问题是2017真的太久远了一堆手游/游戏应该都比2017新甚至也重新包成2017后的unity了

出大事

除非是熔断或幽灵漏洞那种动摇国本漏洞 才会OS先抢救一下吧

手游和独立游戏大规模都在用这引擎

这无解啊，看意思理解是要开发商重新用新版本影响打包更新游戏，那些老游戏开发商还在不在都不知道的不就吃屎了

就 等它修啊 怕就把游戏砍一砍 反正漏洞存在这么久了

2017年的漏洞你8年后才讲，不如躺平等死吧==

老游戏删一删了，我不信他们会更新

没吧 这漏洞编号是2025 今年发现的

只是正常的黄油应该很难被插入恶意程式吧，除非开发者拿到非官方的版本开发...

独立游戏几乎都是Unity 好上手 资源也丰富

基本上开发商/代理商已经消失的都可以删了

Unity应该不用玩了吧

讲白点你不闲著没事干上奇怪网站或者抓奇怪执行档基本没事，除非人家趁著游戏更新塞给你东西去用这个洞执行，不然都裸奔快十年了有差逆

有办法拉 用沙箱隔离一个环境来启动游戏 应该可以缓解

打错字*引擎

当然如果恶意的开发者就...

这没救。范围太广了

dl买的瑟瑟游戏大概都完了，就算有更新还得再下载一次

不妨等等看第一个会更新的黄游是哪一款

这个漏洞一定中，不管了

今年发现的 可是是从以前版本就有了

另类杀盗版游戏的手法？

七成的手机游戏....

恶意开发者就steam 前阵子也有过啊，更新直接塞毒给你吧，这个有没有洞都一样出事

DL色色游戏有一票是RPG制作大师的 但留一部分就是这个引擎的 要看买哪种

甚至大厂也会用 不过拿来用之前会先魔改成适合的样子 像是炉石的客户端 激斗峡谷之类的我记得都是unity

精彩了

加载过程，那有mod的游戏不就死定了？

只能等微软大大了

就是你的程式从2017之后的版本 有个写法一直有问题 但今年才被研究人员发现 被提交为CVE漏洞

小厂 game什么都不用期待他会更新了啦

哇真的出大事

这是被官方发现 天知道骇客是不是更早就发现了 你要赌吗

不过Unity自己有整理已修补的版本 有些分支版本早就修了

超大包

建议别赌 至少等到你那款游戏进行处理后再装回来

主要是游戏引擎这种底层的东西一般开发团队应该不会没事升级

不是。这种游戏很多耶。直接格式化清台 可能快一点

应该一个版本用很久 这才会开发升级后重打包

最大问题是很多人搞不好根本不知道哪些游戏是unity的

但理论上这个需要开发那边塞进来才有可能中标吧

大多人平时也不注重资安 现在才来担心也太晚

内文说这个漏洞可以让骇客塞东西进来

如果你的游戏来源都是不知名论坛来的就...........

讲到2017，就想到Wanncry，当时全球都灾情惨重

其实现在时不时也还是有受害者

查了一下 steam，本体有 10/2的用户更新了建议可以更新 steam一下用户端

手游全中了吧

网站有说目前没查到被实际利用的案例就是了

我的理解是基本上对“正常”下载管道的一次性玩家来说 +Steam 这种同步平台只要没被打穿问题就不大但对盗版玩家就不是这么一回事了 有心的玩家就可以偷偷放东西进行 RCE 了*有心的分享者或制作者就可以对

都盗版了有差这个权限吗XD

笑了 元祖pixel dungeon这种等级的可能没事

还有一点，使用平台也要注意那种奇怪的免费游戏

超好抹黄油2025(new!!)

但这大概对 DLSITE 这种分享独立游戏或小众游戏的网站相当伤 有太多社交工程可能可以间接利用这个洞了（如果知道怎么触发）

这个漏洞是LCE

阿对 谢谢楼上指正

出事拉==

是说先载一个东西，帮你的游戏加料后hack你 跟你载的东西

已更新 https://i.urusai.cc/VIu35.jpg

呃…那个…有一大堆的人，手游都是抓第三方供应apk跨区玩的喔

本身带毒差别在哪?后者比较容易被防毒抓到吗

原神要完

怕

这个漏洞需要有恶意dll已经在电脑里 并且被unity错误加载

所以现在电脑手机要怎么做

是欸要本地触发...

正版受害者,还好我都不玩游戏了

社交工程很好做阿 谢谢楼主分享 永远不缺卫生纸

不只手游 最近玩的机战y也是unity欸

一般人就是等更新 不要乱点奇怪连结(基本资安意识)

就跟平时一样，有更新的等官方更新，没更新的你本地不乱抓乱开东西理论上也不会有事

本身带毒很容易侦查 hack程序一般来说不会被侦测到有害

怕的是漏洞本来还没人知道，一公告了就有人恶意要来了

所以是容不容易被抓到的区别 谢谢

扫毒本身的原理就是每个档案都过过一次滤网

steam一堆游戏在跳更新根本疯掉

本身带毒就是滤网都过不去 夹在其他档案里就是类似伪装突破滤网去执行

这范围太大了想救都救不了 常玩游戏的根本不可能不碰到

刚刚用steam才抓好一个游戏 看了一下是unity

所以是先移除 还是不要玩

这样小黄油的确危险一点 通常都要额外抓补丁

已停更的老游戏不就没救了

更新就没事了 如果你的档案是从正规管道下载的99%没事唯一1%可能性是某个骇客直接从开发商那里塞档案进去游戏但如果你下载的是盗版来源 那就有其他人加料的空间

这也太多...

也不用盗版啊，人家做一个mod，然后你装了，不就中了？尤其是独立游戏很多都有Mod的额外玩法

更新前别装啊，再说MOD藏毒这点有没有这个洞都可能发生吧

现在这个状况大概就,反正你也裸奔快十年了,如果都是从Steam用户端正常在开游戏又没装啥鬼东西大概没差

MOD不用引擎有问题就能藏毒了吧==

还好 steam挡了就没差啊

实务上来讲可能触发这个洞的方式几乎也都可以用来触发其他不当程式啊所以最后不就又回到最原始的资安概念：不要乱抓乱开乱逛

藏毒要不被发现才叫藏吧，不然这样说非法来源也是藏毒，好像没有什么讨论空间了那是不是这洞没有差了

出大事了

姆咪 累积八年了 7成以上都中标 我是建议断网两年才有可能根治#1euF6cQO (C_Chat) 版上关于这个有人回文解释更清楚了

厉害了

能钓鱼藏毒的手段之一 总之洞有补好过没补

怕

笑烂 裤底一大包

基本上这八年都中了，就看你有什么重要的东西，值得被拿走，当你毫无价值的时候，其实啥不会发生

完了完了要变僵尸了 (你的机器连网就有价值)

欸干 我的戴森球…

都几年了 没差这几天

要怕的是盗版仔跟不明来源的安装档吧

主机难得的大胜利？

出大事

手游7成+pc……那不就全部人都中了= =

Unity超多游戏耶

干 这个大的

大家都中奖等于大家都没中奖 ok

出事了

问题是这个漏洞的触发方式对攻击者疑似不会太过困难，只要他知道某个游戏固定会读哪些资料夹的档案引入 包成类似的 .dll 或 .so 档案就可能可以 LCE 促成更后续的攻击？光是你下载个丝之歌中翻中翻译包可能就会送你自己下去了之类的

说不是跑Patcher ，就是更新windows defender阻挡指令

活侠也是吧，这是强制戒毒吗

偏偏一堆玩家玩 Unity 游戏手痒关掉 defender 来为了装 mod 的不在少数

游戏机工作机还是分开吧 都2025了有好几台电脑也正常吧

房价是个问题

拉基引擎

没事，我用NS2和XSX玩游戏

竟然是日本人发现的

怕爆

Unity游戏装mod就会中奖了

能破这么久也是很厉害 历史留名了

哀凤或成最大赢家？

真的很大条

这个影响太大 基本上你现在要做什么也来不及了

夭寿喔 我整个Hgame库存不就被炸翻了

挖赛，这影响好大

怕..另外居然还是日本资安公司发现的

几乎所有手游都中标吧

小游戏都陆续更新了https://i.urusai.cc/qidVP.jpg

一堆小黄游都是

这波超大 死定了

哇靠这有够大条

steam黄游应该是风险最大的 因为有不少还要另外装补丁

惨，这几乎肉眼可见的都是==

出大事了

哇靠......XD 这下有趣了

难怪皇室战争的匹配系统跟屎一样

很多小黄游都是 完蛋了

独立游戏工作室解散、开发商倒闭或停止研发只做版权管理，这种的是不是就没救了？

2017到现在，能偷得都偷光了吧不差没对你动刀==

@kuo3027 之前都没事是因为这个漏洞现在才被发现，之前没有骇客知道

恭喜你是正版受害者

干Unity出这个大包，Epic 要发财了

干 电脑超多游戏都是阿... 看礼拜一U会不会跌一波XD...

这个CVE发几天了 steam补完了 昨天unity推全部patch了 现在才知道消息千万别买股票= =

刚好中韩都连假。还是都007？

ㄇㄉ给人增加工作量= =

@jackyT 也不用这么凶吧 消息好歹也是过几天就让大家知道了 也不是人人天天资安背景翻 CVE / KEV / NVD 或盯着单字打出来会踩版规的那些 forums，我菜鸡也是看到原Po讲了才知道Q

2017之后 靠腰 范围超大欸

FGO日服已经更新了

超多...

中了会怎样吗 很多黄油耶

要怎么看游戏用哪种引擎？