Re: [情报] 游戏引擎Unity爆重大安全漏洞
楼主: comp2468 (ilikemiku) 2025-10-05 00:01:43
※ 引述《zero003 (大河痛PSP)》之铭言:
: https://reurl.cc/2QqdKa
: https://unity.com/cn/security/sept-2025-01/remediation
: 游戏引擎大厂Unity公开自家安全漏洞CVE-2025-59489
: 恶意攻击者可以透过Unity加载过程绕过权限安插恶意程式。
: CVSS等级:8.4 (通用漏洞评分系统,最严重10分)
: 》影响范围包含:
: 2017.1版之后所有使用Unity建立的Android、Windows、Linux、macOS游戏
: 》官方建议:
: 所有受影响专案的开发者都应该必须立刻采取行动。
: 以最新版本的Unity将游戏重新打包
: 。本漏洞由日本资安公司GMO Flatt Security 研究员 RyotaK
: 于2025年5月在Meta举办的资安漏洞悬赏活动中发现,
: 由于本漏洞的影响范围之大,
: RyotaK在该活动中拿下首奖以及最有影响力奖。
: https://scan.netsecurity.ne.jp/article/2025/09/03/53550.html
: 。目前Steam已更新客户端,能够阻止恶意攻击者试图使用此漏洞
: 只要你透过最新版本的Steam客户端而非网页指令之类的方式启动游戏,就是安全的,
: 攻击者必须先诱骗受害者下载恶意软件,再诱骗受害者启用这个漏洞才能成功
: 未更新的游戏不会自己长出病毒
: https://reurl.cc/vLNZEl
依照这篇文
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
可以参考
Remote Exploitation via Browser
这一段
这个漏洞并不是只能单纯的local privileges escape
而是有rce的可能
只是rce条件更严苛
这个漏洞要能用在android上是有要求
android:extractNativeLibs 设成true
让一般apk直接引用外部库而不是apk自带的lib
问题是这样设在so被更改后也会绕过apk的签名检验机制
然后这漏洞拿这点来利用
不过会不会自己长出病毒吗
虽然是说不会 但总觉得是还没研究出来
毕竟有漏洞的软件可能网络功能被拿来利用
可能不是软件本身的漏洞
而是整合平台以后
平台某些功能被滥用
: 。微软发出公告
: Fallout Shelter
: Wasteland 3
: 鬼线 东京
: 永恒之柱系列
: 等多款使用Unity开发的游戏已经下架,待处理完毕后重新上架
: 并且告知使用者在微软处理完毕前建议移除这些游戏
: https://reurl.cc/yAV3XE
: 。由于Unity使用非常广泛,目前约有七成的手机游戏都受此漏洞影响
: https://reurl.cc/VWVdqA
这个漏洞是
攻击者利用特定参数执行unity让unity去load任意的library
上面那篇文的例子是用android当例子
读取任意library基本上跟执行任意程式码没差多少了
android还有 AndroidManifest.xml 限制一下
配合steam公告里面提及的细节
The update blocks launching a game through the Steam Client custom URI
scheme (steam://) or an OS shortcut if any of the four command line
parameters listed in the Unity report are present in the launch request.
诶 刚好是网络功能+参数 同时有的话会被block
四个参数 unity 的remediation也有公布
windows 四个参数全中
所以基本上要先foothold才可以下一步
但现在很多unity游戏都会用到网络阿
平台启动也会配合很多网络功能+参数
所以我觉得之后可能被研发到不用到"下载"恶意软件的地步
url也可能是steam或其他平台的url之类的
能用参数造成这个漏洞就行
微软会要求全删而不是跟steam一样挡特定参数本身我觉得有点像一个提示了
是不是某些平台对于url或shortcut启动游戏参数这块不好挡
不知道会不会有大老往这个方向研究出来
利用其他平台来进行漏洞变成完整rce这样
: https://reurl.cc/2QqdKa
: https://unity.com/cn/security/sept-2025-01/remediation
: 游戏引擎大厂Unity公开自家安全漏洞CVE-2025-59489
: 恶意攻击者可以透过Unity加载过程绕过权限安插恶意程式。
: CVSS等级:8.4 (通用漏洞评分系统,最严重10分)
: 》影响范围包含:
: 2017.1版之后所有使用Unity建立的Android、Windows、Linux、macOS游戏
: 》官方建议:
: 所有受影响专案的开发者都应该必须立刻采取行动。
: 以最新版本的Unity将游戏重新打包
: 。本漏洞由日本资安公司GMO Flatt Security 研究员 RyotaK
: 于2025年5月在Meta举办的资安漏洞悬赏活动中发现,
: 由于本漏洞的影响范围之大,
: RyotaK在该活动中拿下首奖以及最有影响力奖。
: https://scan.netsecurity.ne.jp/article/2025/09/03/53550.html
: 。目前Steam已更新客户端,能够阻止恶意攻击者试图使用此漏洞
: 只要你透过最新版本的Steam客户端而非网页指令之类的方式启动游戏,就是安全的,
: 攻击者必须先诱骗受害者下载恶意软件,再诱骗受害者启用这个漏洞才能成功
: 未更新的游戏不会自己长出病毒
: https://reurl.cc/vLNZEl
依照这篇文
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
可以参考
Remote Exploitation via Browser
这一段
这个漏洞并不是只能单纯的local privileges escape
而是有rce的可能
只是rce条件更严苛
这个漏洞要能用在android上是有要求
android:extractNativeLibs 设成true
让一般apk直接引用外部库而不是apk自带的lib
问题是这样设在so被更改后也会绕过apk的签名检验机制
然后这漏洞拿这点来利用
不过会不会自己长出病毒吗
虽然是说不会 但总觉得是还没研究出来
毕竟有漏洞的软件可能网络功能被拿来利用
可能不是软件本身的漏洞
而是整合平台以后
平台某些功能被滥用
: 。微软发出公告
: Fallout Shelter
: Wasteland 3
: 鬼线 东京
: 永恒之柱系列
: 等多款使用Unity开发的游戏已经下架,待处理完毕后重新上架
: 并且告知使用者在微软处理完毕前建议移除这些游戏
: https://reurl.cc/yAV3XE
: 。由于Unity使用非常广泛,目前约有七成的手机游戏都受此漏洞影响
: https://reurl.cc/VWVdqA
这个漏洞是
攻击者利用特定参数执行unity让unity去load任意的library
上面那篇文的例子是用android当例子
读取任意library基本上跟执行任意程式码没差多少了
android还有 AndroidManifest.xml 限制一下
配合steam公告里面提及的细节
The update blocks launching a game through the Steam Client custom URI
scheme (steam://) or an OS shortcut if any of the four command line
parameters listed in the Unity report are present in the launch request.
诶 刚好是网络功能+参数 同时有的话会被block
四个参数 unity 的remediation也有公布
windows 四个参数全中
所以基本上要先foothold才可以下一步
但现在很多unity游戏都会用到网络阿
平台启动也会配合很多网络功能+参数
所以我觉得之后可能被研发到不用到"下载"恶意软件的地步
url也可能是steam或其他平台的url之类的
能用参数造成这个漏洞就行
微软会要求全删而不是跟steam一样挡特定参数本身我觉得有点像一个提示了
是不是某些平台对于url或shortcut启动游戏参数这块不好挡
不知道会不会有大老往这个方向研究出来
利用其他平台来进行漏洞变成完整rce这样
作者: eva05s (◎) 2025-10-05 00:08:00
唉,假如真是这样老一点同人游戏基本上都不用玩了QQ
作者: shadowblade (影刃) 2025-10-05 00:09:00
断网玩?
作者: Royalweger (绝代之狂) 2025-10-05 00:10:00
虽然是ios但还是先暂时删ptcg pocket好了
作者: eva05s (◎) 2025-10-05 00:13:00
除非另外弄一台专门电脑不然要断网玩不太实际啊,总会有忘记的时候嘛,不过我记得首篇有人说其实这是几天前的消息不少线上游戏都有更新了,应该是不用急着删那些比较新的游戏吧
作者: IceCococaca (嘟嘟鲁) 2025-10-05 00:15:00
steam说会警告,所以玩的游戏没警告的话就不用担心的意思?
作者: shadowblade (影刃) 2025-10-05 00:16:00
steam那边是用它的用户端启动就安全(steam的说法
作者: raincole (冷鱼) 2025-10-05 00:28:00
目前看来不算什么大事 他要load的东西还是得已经在你电脑里 然后你还得去开那个 URI 才会中标这漏洞利用难度已经比上传一个恶意 mod 还高多了 很多游戏的 mod 社群都是用直接载下来覆蓋原本游戏的 binary这种方式 这类的 mod 其实不管 Unity 有没有漏洞都一样危险 结论:从目前已公开资讯看来不是太特别的漏洞然后那些古早同人游戏基本上就更不用担心 毕竟这些游戏根本不会去实作处理什么 URL schemes 啊 要启动只能透过例如 Steam 的 URL schemes 但是 Steam 已经 patch 掉了
作者: h75311418 (Wiz) 2025-10-05 00:41:00
还是先注意
作者: eva05s (◎) 2025-10-05 00:43:00
感谢推文说明
作者: IceCococaca (嘟嘟鲁) 2025-10-05 00:48:00
感谢说明
作者: r24694648 (damnTurtleggs) 2025-10-05 01:03:00
感谢说明
作者: XFarter (劈哩啪啦碰碰碰) 2025-10-05 06:31:00
推
作者: avans (阿纬) 2025-10-05 10:07:00
推说明
