作者 xbearboy ()標題 Fw: [情報] 遊戲引擎Unity爆重大安全漏洞時間 Sat Oct 4 18:53:04 2025
※ [本文轉錄自 C_Chat 看板 #1euEEnn_ ]
作者 zero003 (大河痛PSP)標題 [情報] 遊戲引擎Unity爆重大安全漏洞時間 Sat Oct 4 17:06:43 2025
https://reurl.cc/2QqdKa
https://unity.com/cn/security/sept-2025-01/remediation
遊戲引擎大廠Unity公開自家安全漏洞CVE-2025-59489
惡意攻擊者可以透過Unity載入過程繞過權限安插惡意程式。
CVSS等級:8.4 (通用漏洞評分系統,最嚴重10分)
》影響範圍包含:
2017.1版之後
所有使用Unity建立的Android、Windows、Linux、macOS遊戲
》官方建議:
所有受影響專案的開發者都應該
必須立刻採取行動。
以最新版本的Unity將遊戲重新打包
。本漏洞由日本資安公司GMO Flatt Security 研究員 RyotaK
於2025年5月在Meta舉辦的資安漏洞懸賞活動中發現,
由於本漏洞的影響範圍之大,
RyotaK在該活動中拿下首獎以及最有影響力獎。
https://scan.netsecurity.ne.jp/article/2025/09/03/53550.html
。目前Steam已更新客戶端,能夠阻止惡意攻擊者試圖使用此漏洞
只要你透過最新版本的Steam客戶端而非網頁指令之類的方式啟動遊戲,就是安全的,
攻擊者必須先誘騙受害者下載惡意軟體,再誘騙受害者啟用這個漏洞才能成功
未更新的遊戲不會自己長出病毒
https://reurl.cc/vLNZEl
。微軟發出公告
Fallout Shelter
Wasteland 3
鬼線 東京
永恆之柱系列
等多款使用Unity開發的遊戲已經下架,待處理完畢後重新上架
並且告知使用者
在微軟處理完畢前建議移除這些遊戲
https://reurl.cc/yAV3XE
。由於Unity使用非常廣泛,目前約有七成的手機遊戲都受此漏洞影響
https://reurl.cc/VWVdqA
--
posted from
SEGA BBS Reader on my
Mega Drive
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.225.244 (臺灣)
※ 文章代碼(AID): #1euEEnn_ (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1759568817.A.C7F.html
※ zero003:轉錄至看板 Steam 10/04 17:07
範圍超廣的
1.用Unity開發
2.2017年9月後發售
3.Android、Windows、Linux、macOS平台
就中獎
※ 編輯: zero003 (114.33.225.244 臺灣), 10/04/2025 17:12:15
推 Valter: 不是寫了 所有2017.1版後開發的遊戲5F 10/04 17:10
推 balabala56: 2017以後也太多 H-game 就不知道多少款了8F 10/04 17:11
推 dnek: 就這還想多收錢9F 10/04 17:11
推 lsd25968: 7成 直接默認你手上的遊戲一定有中標就好了==10F 10/04 17:11
推 Echobee: 完了完了要變殭屍了12F 10/04 17:12
→ s2637726: 原鐵絕都是用unity做的 會不會其實13F 10/04 17:12
推 GaoLinHua: (′・ω・`) 還想按裝機數收費 應該按裝機數賠償吧14F 10/04 17:12
推 orca1912: 妮檔我記得也是用unity.....15F 10/04 17:12
→ sai007788: 不過要有更新的,在這之前先開停止自動更新吧16F 10/04 17:12
推 furret: 70%根本極廣泛19F 10/04 17:13
推 n3688: 你的個資可能又又又再一次被盜了20F 10/04 17:13
推 snocia: 除了近年用ue5自嗨做的手遊,或者小遊戲以外應該全中標21F 10/04 17:13
→ Echobee: 魔改unity應該不包括在內 不過是中國開發的23F 10/04 17:13
推 qd6590: 難怪我昨天夢到我的gmail被盜帳號拿去推廣賣炸雞25F 10/04 17:13
→ qd6590: 魔改版原本的漏洞也會在吧 除非剛好是魔改掉的地方28F 10/04 17:14
推 arceus: 好眼熟 是檔案前陣子出的那件事嗎?30F 10/04 17:15
→ AmeNe43189: 2017已經是8、9年前的事了,將近這10年完全沒有用過更新還在這版本的真的會有這種人?32F 10/04 17:16
推 dnek: 2017年後的每種版本都有這漏洞吧35F 10/04 17:16
→ Echobee: 嚇的我把庫裡的unity黃遊全砍了36F 10/04 17:16
推 n3688: 很多虛假廣告糞手遊都是unity37F 10/04 17:16
→ eva05s: 2017版「之後所有」38F 10/04 17:16
推 lazioliz: 是2017版含之後 又不是只有2017版40F 10/04 17:17
推 super1937: 2017版「之後所有」 為什麼AmeNe講的好像是2017年版?42F 10/04 17:17
→ AmeNe43189: 我說的是還停留在2017以前,完全沒有更新過版本= =45F 10/04 17:17
推 lovez04wj06: 「2017.1版之後所有使用Unity建立」前面有人沒看懂吧,這之前的反而沒事47F 10/04 17:17
推 jkkkj123: 這是強迫開發者更新吧 要為了漏洞除錯到瘋掉了嗎51F 10/04 17:18
推 loltrg42972: "2017版之後所有" 到底要怎麼理解才能理解成只有2017版53F 10/04 17:18
推 JOPE: 那些獨立遊戲很難更新吧56F 10/04 17:18
推 AirForce00: 虛幻是Unreal (EPIC開發的),Unity是Unity57F 10/04 17:19
推 orca1912: 這範圍之大 你乾脆叫我把全部遊戲都解除安裝= =61F 10/04 17:19
推 Y1999: 直接說全中可能比較快63F 10/04 17:19
推 fuhsingeek: 2017.1所有之後的所有版本都有危險 這跨度也太大了==乾脆跟我說把所有unity做的遊戲解除安裝比較快64F 10/04 17:20
→ AmeNe43189: 我換個說法,誰還停留在10年前完全不更新
這樣可以懂我的意思嗎= =67F 10/04 17:20
推 dos01: 這破東西之前不是還喊著要收費 就這?70F 10/04 17:20
→ BOARAY: 難怪塔克夫優化大變71F 10/04 17:21
推 issoap: 最後紀元好像也是73F 10/04 17:21
→ lazioliz: 那你這問題不就廢問 正常開發者本來就不會特意鎖2017之前74F 10/04 17:21
→ Echobee: 然後現在才講其實也晚了 早就裸奔不知道多久了76F 10/04 17:21
→ Y1999: 十年前的遊戲,你可能要玩個軒轅劍三才能沒事77F 10/04 17:21
→ zseineo: 是有極少的可能遊戲做很久 但不又想更新環境啊
但就很個案78F 10/04 17:21
推 dnek: 喔看懂了,2017年到現在沒中的確實不太可能81F 10/04 17:21
→ spfy: 查了一下 很神奇的是受影響主流平台除了iOS以外其他全有82F 10/04 17:22
→ AmeNe43189: 不是,我原說法也不是真心問這個的啊,反諷要加個括號嗎83F 10/04 17:22
推 knight45683: 2017 這也太久了吧 你有持續追新遊戲的話 100%中標86F 10/04 17:23
→ spfy: 但不同的漏洞細節在不同平台從不同的版本開始有問題87F 10/04 17:23
推 a205090a: 這也要有門路在你電腦裡塞東西等你開遊戲才能跑91F 10/04 17:23
→ a205090a: 一般電腦玩家影響不大啦==94F 10/04 17:24
推 funkD: 乾 你這乾脆叫人整台重灌好了==95F 10/04 17:24
推 fuhsingeek: 我Steam現在待更新有4款 只有一款註記安全性更新
不知道要怎樣 白癡unity==98F 10/04 17:25
→ eva05s: 老話一句,養成良好習慣不要亂執行奇怪的檔案就有可以防八成毒害100F 10/04 17:25
→ spfy: RCE漏洞就是影響超級嚴重但能觸發的場合很可能辦不到 例如有些可能是9.9分但要物理接觸機器才能使用 這就...還是預防吧105F 10/04 17:26
推 n3688: 我玩的SEGA手遊有公告沒中標107F 10/04 17:26
推 sezna: 活俠傳也是吧109F 10/04 17:26
推 bomda: 三小啊= =110F 10/04 17:26
推 johnny3: 簡單的說就是所有unity遊戲吧114F 10/04 17:28
→ spfy: 但用AI整理了一下 從2017開始但不是到現在為止的最新版本
有些分支和子版本從2021就開始修了 應該可以理解成這個漏洞115F 10/04 17:28
我發現我看錯Steam那篇公告,修正一下
※ 編輯: zero003 (114.33.225.244 臺灣), 10/04/2025 17:31:12
推 tn1983: 三小 這樣鐵原絕得先刪掉嗎118F 10/04 17:29
→ Echobee: 意思是可以用unity引擎當作entry point神不知鬼不覺的裝後門程式對吧119F 10/04 17:29
→ spfy: 影響範圍是2017版本到(2021-2023看你用哪個版本)121F 10/04 17:29
→ johnny3: 有辦法os補漏洞嗎 還是一定要遊戲開發商自己補122F 10/04 17:29
推 iuytjhgf: 都說得開發者自己重新包裝了123F 10/04 17:30
推 grtfor: 地圖砲的毀滅型漏洞.....125F 10/04 17:30
→ RKain: 黃油中槍機率應該高很多,長時間更新的遊戲不一定會更新unity版本,啊問題是2017真的太久遠了一堆手遊/遊戲應該都比2017新甚至也重新包成2017後的unity了127F 10/04 17:30
→ spfy: 除非是熔斷或幽靈漏洞那種動搖國本漏洞 才會OS先搶救一下吧131F 10/04 17:30
推 polo2k: 手遊和獨立遊戲大規模都在用這引擎132F 10/04 17:30
推 aa89028500: 這無解啊,看意思理解是要開發商重新用新版本影響打包更新遊戲,那些老遊戲開發商還在不在都不知道的不就吃屎了133F 10/04 17:31
→ zseineo: 就 等它修啊 怕就把遊戲砍一砍 反正漏洞存在這麼久了136F 10/04 17:31
推 Tryfing: 2017年的漏洞你8年後才講,不如躺平等死吧==137F 10/04 17:31
→ satheni: 老遊戲刪一刪了,我不信他們會更新138F 10/04 17:31
→ spfy: 沒吧 這漏洞編號是2025 今年發現的139F 10/04 17:31
→ RKain: 只是正常的黃油應該很難被插入惡意程式吧,除非開發者拿到非官方的版本開發...140F 10/04 17:31
推 ilohoo: 獨立遊戲幾乎都是Unity 好上手 資源也豐富142F 10/04 17:32
推 snocia: 基本上開發商/代理商已經消失的都可以刪了143F 10/04 17:32
※ 編輯: zero003 (114.33.225.244 臺灣), 10/04/2025 17:35:23
→ eva05s: 講白點你不閒著沒事幹上奇怪網站或者抓奇怪執行檔基本沒事,除非人家趁著遊戲更新塞給你東西去用這個洞執行,不然都裸奔快十年了有差逆145F 10/04 17:32
推 iuytjhgf: 有辦法拉 用沙箱隔離一個環境來啟動遊戲 應該可以緩解148F 10/04 17:32
→ RKain: 當然如果惡意的開發者就...150F 10/04 17:33
推 fuhu66: dl買的瑟瑟遊戲大概都完了,就算有更新還得再下載一次152F 10/04 17:33
推 Echobee: 不妨等等看第一個會更新的黃遊是哪一款153F 10/04 17:33
推 sobiNOva: 今年發現的 可是是從以前版本就有了155F 10/04 17:33
推 grtfor: 七成的手機遊戲....157F 10/04 17:34
→ eva05s: 惡意開發者就steam 前陣子也有過啊,更新直接塞毒給你吧,這個有沒有洞都一樣出事158F 10/04 17:34
推 Akukin: DL色色遊戲有一票是RPG製作大師的 但留一部分就是這個引擎的 要看買哪種160F 10/04 17:34
→ ilohoo: 甚至大廠也會用 不過拿來用之前會先魔改成適合的樣子 像是爐石的客戶端 激鬥峽谷之類的我記得都是unity162F 10/04 17:34
推 Richun: 載入過程,那有mod的遊戲不就死定了?165F 10/04 17:34
→ spfy: 就是你的程式從2017之後的版本 有個寫法一直有問題 但今年才被研究人員發現 被提交為CVE漏洞167F 10/04 17:34
推 Nighty7222: 小廠 game什麼都不用期待他會更新了啦169F 10/04 17:35
推 Echobee: 這是被官方發現 天知道駭客是不是更早就發現了 你要賭嗎171F 10/04 17:35
→ spfy: 不過Unity自己有整理已修補的版本 有些分支版本早就修了172F 10/04 17:36
推 tn1983: 建議別賭 至少等到你那款遊戲進行處理後再裝回來174F 10/04 17:37
→ spfy: 主要是遊戲引擎這種底層的東西一般開發團隊應該不會沒事升級175F 10/04 17:37
→ Nighty7222: 不是。這種遊戲很多耶。直接格式化清檯 可能快一點176F 10/04 17:37
→ spfy: 應該一個版本用很久 這才會開發升級後重打包177F 10/04 17:38
→ eva05s: 最大問題是很多人搞不好根本不知道哪些遊戲是unity的178F 10/04 17:38
Security Update Advisory
A security vulnerability was identified that affects games and applications built on Unity versions 2017.1 and later for Android, Windows, and macOS o ...
推 iuytjhgf: 如果你的遊戲來源都是不知名論壇來的就...........183F 10/04 17:40
※ 編輯: zero003 (114.33.225.244 臺灣), 10/04/2025 17:46:45
→ eva05s: 其實現在時不時也還是有受害者185F 10/04 17:43
推 grtfor: 查了一下 steam,本體有 10/2的用戶更新了
建議可以更新 steam一下
用戶端186F 10/04 17:43
推 XFarter: 我的理解是基本上對「正常」下載管道的一次性玩家來說 +Steam 這種同步平台只要沒被打穿問題就不大
但對盜版玩家就不是這麼一回事了 有心的玩家就可以偷偷放東西進行 RCE 了
*有心的分享者或製作者就可以對191F 10/04 17:45
推 sobiNOva: 都盜版了有差這個權限嗎XD196F 10/04 17:46
→ XFarter: 但這大概對 DLSITE 這種分享獨立遊戲或小眾遊戲的網站相當傷 有太多社交工程可能可以間接利用這個洞了(如果知道怎麼觸發)200F 10/04 17:47
推 XFarter: 阿對 謝謝樓上指正204F 10/04 17:49
推 zseineo: 是說先載一個東西,幫你的遊戲加料後hack你 跟你載的東西206F 10/04 17:49
推 hayate65536: 呃…那個…有一大堆的人,手遊都是抓第三方供應apk跨區玩的喔208F 10/04 17:50
→ zseineo: 本身帶毒差別在哪?後者比較容易被防毒抓到嗎210F 10/04 17:50
→ as920909: 這個漏洞需要有惡意dll已經在電腦裡 並且被unity錯誤加載213F 10/04 17:50
推 a2156700: 所以現在電腦手機要怎麼做215F 10/04 17:51
→ spfy: 是欸要本地觸發...216F 10/04 17:51
推 justdoit: 正版受害者,還好我都不玩遊戲了217F 10/04 17:52
推 iuytjhgf: 社交工程很好做阿 謝謝樓主分享 永遠不缺衛生紙218F 10/04 17:52
推 ken121: 不只手遊 最近玩的機戰y也是unity欸219F 10/04 17:52
→ spfy: 一般人就是等更新 不要亂點奇怪連結(基本資安意識)220F 10/04 17:52
→ eva05s: 就跟平時一樣,有更新的等官方更新,沒更新的你本地不亂抓亂開東西理論上也不會有事221F 10/04 17:53
推 a205090a: 本身帶毒很容易偵查 hack程序一般來說不會被偵測到有害223F 10/04 17:54
推 BSpowerx: 怕的是漏洞本來還沒人知道,一公告了就有人惡意要來了224F 10/04 17:54
→ zseineo: 所以是容不容易被抓到的區別 謝謝225F 10/04 17:55
推 a205090a: 掃毒本身的原理就是每個檔案都過過一次濾網226F 10/04 17:56
→ a205090a: 本身帶毒就是濾網都過不去 夾在其他檔案裡就是類似偽裝突破濾網去執行228F 10/04 17:58
推 kinuhata: 這範圍太大了想救都救不了 常玩遊戲的根本不可能不碰到230F 10/04 17:58
→ a205090a: 但這個漏洞偏向於利用unity繞過濾網231F 10/04 17:58
推 shadowdio: 剛剛用steam才抓好一個遊戲 看了一下是unity232F 10/04 17:58
推 sobiNOva: 這樣小黃油的確危險一點 通常都要額外抓補丁235F 10/04 17:59
推 rolldada: 已停更的老遊戲不就沒救了236F 10/04 17:59
→ sobiNOva: UNITY遊戲多到爆 沒事啦 都不玩沒遊戲玩了237F 10/04 17:59
推 a205090a: 更新就沒事了 如果你的檔案是從正規管道下載的99%沒事唯一1%可能性是某個駭客直接從開發商那裡塞檔案進去遊戲
但如果你下載的是盜版來源 那就有其他人加料的空間238F 10/04 18:00
推 lovez04wj06: 也不用盜版啊,人家做一個mod,然後你裝了,不就中了?
尤其是獨立遊戲很多都有Mod的額外玩法243F 10/04 18:03
→ eva05s: 更新前別裝啊,再說MOD藏毒這點有沒有這個洞都可能發生吧246F 10/04 18:04
推 shadowblade: 現在這個狀況大概就,反正你也裸奔快十年了,如果都是從Steam用戶端正常在開遊戲又沒裝啥鬼東西大概沒差247F 10/04 18:04
→ Akukin: MOD不用引擎有問題就能藏毒了吧==249F 10/04 18:05
推 cutearia: 還好 steam擋了就沒差啊250F 10/04 18:05
→ Akukin: 你啟動當下就有風險了251F 10/04 18:05
→ eva05s: 實務上來講可能觸發這個洞的方式幾乎也都可以用來觸發其他不當程式啊
所以最後不就又回到最原始的資安概念:不要亂抓亂開亂逛252F 10/04 18:05
→ lovez04wj06: 藏毒要不被發現才叫藏吧,不然這樣說非法來源也是藏毒,好像沒有什麼討論空間了
那是不是這洞沒有差了255F 10/04 18:06
推 adwn: 出大事了258F 10/04 18:06
推 SPDY: 能釣魚藏毒的手段之一 總之洞有補好過沒補263F 10/04 18:09
推 elvaismylove: 基本上這八年都中了,就看你有什麼重要的東西,值得被拿走,當你毫無價值的時候,其實啥不會發生266F 10/04 18:11
推 YeaPa: 要怕的是盜版仔跟不明來源的安裝檔吧271F 10/04 18:18
推 asteea: 主機難得的大勝利?272F 10/04 18:21
→ good90150: 手遊7成+pc……那不就全部人都中了= =274F 10/04 18:24
推 js0431: 幹 這個大的276F 10/04 18:30
→ XFarter: 問題是這個漏洞的觸發方式對攻擊者疑似不會太過困難,只要他知道某個遊戲固定會讀哪些資料夾的檔案引入 包成類似的 .dll 或 .so 檔案就可能可以 LCE 促成更後續的攻擊?光是你下載個絲之歌中翻中翻譯包可能就會送你自己下去了之類的279F 10/04 18:33
→ MyPetTankDie: 說不是跑Patcher ,就是更新windows defender阻擋指令284F 10/04 18:35
推 XFarter: 偏偏一堆玩家玩 Unity 遊戲手癢關掉 defender 來為了裝 mod 的不在少數287F 10/04 18:37
推 asphodelux: 遊戲機工作機還是分開吧 都2025了有好幾台電腦也正常吧289F 10/04 18:40
推 WLR: 沒事,我用NS2和XSX玩遊戲293F 10/04 18:44
→ Yoimiya: 竟然是日本人發現的294F 10/04 18:44
→ tn1983: Unity遊戲裝mod就會中獎了296F 10/04 18:51
推 aaronpwyu: 能破這麼久也是很厲害 歷史留名了297F 10/04 18:51
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: xbearboy (223.136.81.159 臺灣), 10/04/2025 18:53:04
→ xbearboy: 仔細想想DMM遊戲應該都在範圍內?
不過DMM store還沒看到任何的更新檔,在意的自己注意一下1F 10/04 18:53
推 r98192: 突然想到 對魔忍好像就是用Unity做的?
靠…RPGX Viewer會不會中獎呀 囧4F 10/04 19:06
→ xbearboy: 基本上手遊七成中獎,很多遊戲有同時又手機版的應該會一起中,網路上沒有明確指出DMM哪些遊戲用unity,但舊的討論有看到霧車跟馬娘7F 10/04 19:33
→ lennath: RPGX Viewer是JS,沒他的事
Viewer是看做的人想怎麼做,和原始本體是兩碼子事11F 10/04 19:40
→ cross980115: unity的話你DMMP抓下來會很明顯啦
C://user 相關的資料夾點開就很明顯 會有Unity開頭的檔案
閃星 藝術都明確是unity14F 10/04 21:40
→ KBTIT: MLGG也是19F 10/04 22:51
--