Re: [情报] 游戏引擎Unity爆重大安全漏洞
楼主: howtotell (工作的日子) 2025-10-04 20:19:59
https://nvd.nist.gov/vuln/detail/CVE-2025-59489
CVE-2025-59489
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
目前有争议的是AC
AC (Attack Complexity) = H (High)攻击条件复杂,必须满足特定情境才能成功。
→ 代表漏洞不容易被利用。
AC:L (Low):利用条件简单、容易利用。
谁对AC说的对我不知道
老美可能是觉得公司不太有人会装unity 所以写个H 但对玩家来说这是L吧
如果你不是一个没有钱的玩家
最好是相信AC:L 先把所有的"可能是"unity的游戏都先砍掉
这漏洞 一般小公司还不一定会补
如果我是骇客 我就一定拿活侠传之类的开刀 两人小公司产品又热销
受害者又都是台湾跟老共 连受害范围都很好确认
一堆老外讨厌死我们这两个亚洲国家了 天知道会不会拿这个开刀
活侠开发者根本可能连这新闻都不知道...
其他老美都认定一致
PR (Privileges Required) = N (None)不需要任何帐号或系统权限。
→ 一旦能触发条件,攻击者不必先有权限。
UI (User Interaction) = N (None)不需要受害者操作。
→ 完全自动,不依赖使用者点击或开启档案。
推文说不用admin就不会中
老美都说了 这是最低权限都会中 先砍再说吧
如果一直都无法排除AC:L 你又有钱...还是不要跟自己的劳动所得开玩笑吧
推文说不要乱点连结就不会中
这是直接加载 不管你有没有点都会中
当然就算你啥都不干 也可能没出事
就像诈骗每月都创新高 但你我都没被骗 被骗的都是蠢人
但我看到这东西 我会怕 所以我自己有砍掉所有我不确定是不是unity的
只留确定是ue
欢迎指正
※ 引述《Y78 (Y78)》之铭言:
: 昨天刚好看到漏洞发现者 RyotaK 写的技术细节,简单讲一下
: 有技术背景的可以自己看:
: https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
: 在 Android 上,手机 app 可以透过发起一个叫 intent 的东西打开另一个 app
: 打开的时候可以传参数过去
: 而 Unity 在这部分没有处理好,导致会直接加载其他 app 传来的程式码
: 因此一个恶意 app 就可以透过这种方式,再利用 Unity 包出来的游戏执行程式码
: 这是第一种攻击方式
: 再强调一次
: 攻击前提是:你先装了一个恶意 app,再透过这个恶意 app 攻击 Unity 引擎
: 攻击成功之后,就看你原本游戏有什么权限,就可以拿到什么权限
: 但由于你要先装一个恶意 app
: 在你装恶意 app 的时候,它其实本来就可以做很多事了,不需要透过 Unity
: 透过 Unity 就只是可以偷到这个 app 的更多资料,或是拿到更多权限
: 例如说 app 通常只有自己能存取自己的东西
: 因此透过 Unity 这个漏洞,可以让其他 app 来把你东西偷走
: 第二种攻击方式是,有些 app 会可以利用 URL 去发这个 intent
: 就不需要先装恶意 app(这个不是默认的设置,需要开发者自己加上)
: 但由于 Android 本身的权限问题,会阻挡一些可疑位置的档案加载
: 所以还需要搭配 app 本身的机制,想办法让攻击者能够写一个档案
: 接着再加载这个档案才行
: 换句话说,假设一个游戏要有问题,它本身的机制必须能让攻击者去写入档案
: 原文给的案例是 Facebook Messenger 的快取可以被攻击者控制,利用它写档案
: 但游戏的话应该就是 case by case 了,要先找到能控制写档案的方法
: 才有办法写入恶意程式码,然后利用 URL 执行
: 总结一下,根据作者自己的技术细节,攻击要成立的前提是:
: 1. 你已经装了一个恶意 app
: 或是底下三个条件同时满足:
: 1. 游戏支援透过 URL 的方式打开
: 2. 攻击者可以透过游戏本身的机制,写一个档案并控制内容
: 3. 你点了一个恶意 URL,触发 Unity 漏洞
: 由于文章只有写到 Android 的,因此不太确定其他平台的细节
: 这漏洞之所以严重,是因为被触发之后就可以控制 Unity 打包出来的 app
: 但触发条件是否容易,就看大家怎么想了
CVE-2025-59489
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
目前有争议的是AC
AC (Attack Complexity) = H (High)攻击条件复杂,必须满足特定情境才能成功。
→ 代表漏洞不容易被利用。
AC:L (Low):利用条件简单、容易利用。
谁对AC说的对我不知道
老美可能是觉得公司不太有人会装unity 所以写个H 但对玩家来说这是L吧
如果你不是一个没有钱的玩家
最好是相信AC:L 先把所有的"可能是"unity的游戏都先砍掉
这漏洞 一般小公司还不一定会补
如果我是骇客 我就一定拿活侠传之类的开刀 两人小公司产品又热销
受害者又都是台湾跟老共 连受害范围都很好确认
一堆老外讨厌死我们这两个亚洲国家了 天知道会不会拿这个开刀
活侠开发者根本可能连这新闻都不知道...
其他老美都认定一致
PR (Privileges Required) = N (None)不需要任何帐号或系统权限。
→ 一旦能触发条件,攻击者不必先有权限。
UI (User Interaction) = N (None)不需要受害者操作。
→ 完全自动,不依赖使用者点击或开启档案。
推文说不用admin就不会中
老美都说了 这是最低权限都会中 先砍再说吧
如果一直都无法排除AC:L 你又有钱...还是不要跟自己的劳动所得开玩笑吧
推文说不要乱点连结就不会中
这是直接加载 不管你有没有点都会中
当然就算你啥都不干 也可能没出事
就像诈骗每月都创新高 但你我都没被骗 被骗的都是蠢人
但我看到这东西 我会怕 所以我自己有砍掉所有我不确定是不是unity的
只留确定是ue
欢迎指正
※ 引述《Y78 (Y78)》之铭言:
: 昨天刚好看到漏洞发现者 RyotaK 写的技术细节,简单讲一下
: 有技术背景的可以自己看:
: https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
: 在 Android 上,手机 app 可以透过发起一个叫 intent 的东西打开另一个 app
: 打开的时候可以传参数过去
: 而 Unity 在这部分没有处理好,导致会直接加载其他 app 传来的程式码
: 因此一个恶意 app 就可以透过这种方式,再利用 Unity 包出来的游戏执行程式码
: 这是第一种攻击方式
: 再强调一次
: 攻击前提是:你先装了一个恶意 app,再透过这个恶意 app 攻击 Unity 引擎
: 攻击成功之后,就看你原本游戏有什么权限,就可以拿到什么权限
: 但由于你要先装一个恶意 app
: 在你装恶意 app 的时候,它其实本来就可以做很多事了,不需要透过 Unity
: 透过 Unity 就只是可以偷到这个 app 的更多资料,或是拿到更多权限
: 例如说 app 通常只有自己能存取自己的东西
: 因此透过 Unity 这个漏洞,可以让其他 app 来把你东西偷走
: 第二种攻击方式是,有些 app 会可以利用 URL 去发这个 intent
: 就不需要先装恶意 app(这个不是默认的设置,需要开发者自己加上)
: 但由于 Android 本身的权限问题,会阻挡一些可疑位置的档案加载
: 所以还需要搭配 app 本身的机制,想办法让攻击者能够写一个档案
: 接着再加载这个档案才行
: 换句话说,假设一个游戏要有问题,它本身的机制必须能让攻击者去写入档案
: 原文给的案例是 Facebook Messenger 的快取可以被攻击者控制,利用它写档案
: 但游戏的话应该就是 case by case 了,要先找到能控制写档案的方法
: 才有办法写入恶意程式码,然后利用 URL 执行
: 总结一下,根据作者自己的技术细节,攻击要成立的前提是:
: 1. 你已经装了一个恶意 app
: 或是底下三个条件同时满足:
: 1. 游戏支援透过 URL 的方式打开
: 2. 攻击者可以透过游戏本身的机制,写一个档案并控制内容
: 3. 你点了一个恶意 URL,触发 Unity 漏洞
: 由于文章只有写到 Android 的,因此不太确定其他平台的细节
: 这漏洞之所以严重,是因为被触发之后就可以控制 Unity 打包出来的 app
: 但触发条件是否容易,就看大家怎么想了
作者: Y78 (Y78) 2025-10-04 20:30:00
我第一眼看到的其实是那个 AV:L攻击前提是你要有 local access,没办法从 network 打进来因此攻击主轴还是电脑/手机里先有其他程式被掌控,能执行指令然后再透过 unity 来提权 (当然 network 也能打但前提更多)不过我也认同全部移掉当然是最安全的,保证不会被打XD
作者: Gwaewluin (神无月 孝臣) 2025-10-04 20:36:00
米哈游之死
作者: spfy (spfy) 2025-10-04 20:37:00
游戏都移掉我哀配就能丢了
作者: Valter (V) 2025-10-04 20:38:00
现在中国又在放长假 各厂大概要call人来加班了
作者: a5480277 (tk) 2025-10-04 20:39:00
我怎么觉得还好 理论上也要知道package name阿换句话说 你装一些冷门的 那怕是unity的 也没事吧
作者: inte629l 2025-10-04 20:45:00
推
作者: eva05s (◎) 2025-10-04 21:12:00
没办法,会担心除了全砍也不能怎样,是说活侠这种有人在顾的还有更新机会,但真要到你说的程度,DL那边半年以前的上架的瑟瑟,只要确定是unity 基本都可以不用买了,因为九成不会更新....
作者: jackyT (Ubuntu5566) 2025-10-04 21:18:00
从游戏app提权其实蛮难用的吧 游戏是要多少权限
作者: XFarter (劈哩啪啦碰碰碰) 2025-10-04 21:36:00
不用到全砍啦 但这个漏洞很容易在套件引用链里面被利用是真的 不过反过来说这个洞只要你不要把不该关掉的保险机制们关掉 下个礼拜之后问题就不大
作者: nisioisin (nemurubaka) 2025-10-04 22:59:00
不是说从更新后的steam启动的不会中?然后O宅是禁词 小心被检举鸣潮windows就直接要admin权限呀 不过他是UE不是unity游戏不用什么权限可是很多开发者很随便能要都要 尤其手机App
作者: Fantasylio (运命の风) 2025-10-04 23:57:00
结果活侠马上修漏洞XD
作者: Royalweger (绝代之狂) 2025-10-05 00:04:00
那这样PTCG POCKET是不是要先删掉IOS版
