官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Unity Technologies发布紧急安全公告,警告开发者其广泛使用的游戏开发平台存在一个高危漏洞(CVE-2025-59489)。该漏洞会影响使用易受攻击版本Unity Editor构建的应用程序,可能导致本地代码执行和跨操作系统权限提升。
漏洞技术分析
该漏洞源于不受信任的搜索路径缺陷(CWE-426),攻击者可利用Unity构建应用程序中的不安全文件加载机制。CVSS评分为8.4分,影响范围涵盖从2017.1版本到当前版本的几乎所有Unity Editor,全球数百万款已部署的游戏和应用程序可能受到影响。
本地文件包含漏洞特性
该漏洞在不同操作系统上的表现存在差异:
- Android应用风险最高:同时面临代码执行和权限提升攻击风险
- Windows/Linux/macOS平台:主要存在权限提升风险,攻击者可获取应用程序权限级别的未授权访问
GMO Flatt Security公司的安全研究人员于2025年6月4日通过负责任披露流程发现该漏洞。攻击者可利用本地文件包含机制,在易受攻击应用程序的权限级别内执行任意代码,并可能访问该进程可用的机密信息。
在Windows系统上,当为Unity应用程序注册自定义URI处理程序时,威胁形势会变得更加复杂。攻击者触发这些URI方案后,无需直接命令行访问即可利用易受攻击的库加载行为,显著扩大了攻击面。
风险详情
| 风险因素 | 详细信息 |
|---|---|
| 受影响产品 | Unity Editor 2017.1+版本及使用这些版本构建的Android/Windows/Linux/macOS应用 |
| 影响程度 | 本地代码执行、权限提升、信息泄露 |
| 利用前提 | 需具备本地系统访问权限,且目标系统存在易受攻击的Unity构建应用 |
| CVSS 3.1评分 | 8.4(高危) |
修复方案
Unity已为所有受支持版本发布补丁,并将修复范围扩展至Unity 2019.1以来的旧版本。公司提供两种主要修复方案:
- 使用更新版Unity Editor重新构建应用程序
- 对已部署应用使用Unity专用补丁工具进行二进制修补
当前受支持版本(包括6000.3、6000.2、6000.0 LTS、2022.3 xLTS和2021.3 xLTS)均已获得即时补丁。2019.1至2023.2的旧版本也获得了安全更新,但2017.1至2018.4版本仍未修复,建议立即升级。
CVSS漏洞向量字符串CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H表明该漏洞具有本地攻击向量、复杂度要求低且无需用户交互的特点,使得具备本地系统访问权限的攻击者可相对容易地实施攻击。Unity强调目前尚未检测到活跃攻击迹象,也未收到客户受影响报告。
参考来源:
Unity Real-Time Development Platform Vulnerability Let Attackers Execute Arbitrary Code
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)