Re: [情報] 遊戲引擎Unity爆重大安全漏洞
作者: howtotell (工作的日子) 2025-10-04 20:19:59
https://nvd.nist.gov/vuln/detail/CVE-2025-59489
CVE-2025-59489
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
目前有爭議的是AC
AC (Attack Complexity) = H (High)攻擊條件複雜,必須滿足特定情境才能成功。
→ 代表漏洞不容易被利用。
AC:L (Low):利用條件簡單、容易利用。
誰對AC說的對我不知道
老美可能是覺得公司不太有人會裝unity 所以寫個H 但對玩家來說這是L吧
如果你不是一個沒有錢的玩家
最好是相信AC:L 先把所有的"可能是"unity的遊戲都先砍掉
這漏洞 一般小公司還不一定會補
如果我是駭客 我就一定拿活俠傳之類的開刀 兩人小公司產品又熱銷
受害者又都是台灣跟老共 連受害範圍都很好確認
一堆老外討厭死我們這兩個亞洲國家了 天知道會不會拿這個開刀
活俠開發者根本可能連這新聞都不知道...
其他老美都認定一致
PR (Privileges Required) = N (None)不需要任何帳號或系統權限。
→ 一旦能觸發條件,攻擊者不必先有權限。
UI (User Interaction) = N (None)不需要受害者操作。
→ 完全自動,不依賴使用者點擊或開啟檔案。
推文說不用admin就不會中
老美都說了 這是最低權限都會中 先砍再說吧
如果一直都無法排除AC:L 你又有錢...還是不要跟自己的勞動所得開玩笑吧
推文說不要亂點連結就不會中
這是直接載入 不管你有沒有點都會中
當然就算你啥都不幹 也可能沒出事
就像詐騙每月都創新高 但你我都沒被騙 被騙的都是蠢人
但我看到這東西 我會怕 所以我自己有砍掉所有我不確定是不是unity的
只留確定是ue
歡迎指正
※ 引述《Y78 (Y78)》之銘言:
: 昨天剛好看到漏洞發現者 RyotaK 寫的技術細節,簡單講一下
: 有技術背景的可以自己看:
: https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
: 在 Android 上,手機 app 可以透過發起一個叫 intent 的東西打開另一個 app
: 打開的時候可以傳參數過去
: 而 Unity 在這部分沒有處理好,導致會直接載入其他 app 傳來的程式碼
: 因此一個惡意 app 就可以透過這種方式,再利用 Unity 包出來的遊戲執行程式碼
: 這是第一種攻擊方式
: 再強調一次
: 攻擊前提是:你先裝了一個惡意 app,再透過這個惡意 app 攻擊 Unity 引擎
: 攻擊成功之後,就看你原本遊戲有什麼權限,就可以拿到什麼權限
: 但由於你要先裝一個惡意 app
: 在你裝惡意 app 的時候,它其實本來就可以做很多事了,不需要透過 Unity
: 透過 Unity 就只是可以偷到這個 app 的更多資料,或是拿到更多權限
: 例如說 app 通常只有自己能存取自己的東西
: 因此透過 Unity 這個漏洞,可以讓其他 app 來把你東西偷走
: 第二種攻擊方式是,有些 app 會可以利用 URL 去發這個 intent
: 就不需要先裝惡意 app(這個不是預設的設置,需要開發者自己加上)
: 但由於 Android 本身的權限問題,會阻擋一些可疑位置的檔案載入
: 所以還需要搭配 app 本身的機制,想辦法讓攻擊者能夠寫一個檔案
: 接著再載入這個檔案才行
: 換句話說,假設一個遊戲要有問題,它本身的機制必須能讓攻擊者去寫入檔案
: 原文給的案例是 Facebook Messenger 的快取可以被攻擊者控制,利用它寫檔案
: 但遊戲的話應該就是 case by case 了,要先找到能控制寫檔案的方法
: 才有辦法寫入惡意程式碼,然後利用 URL 執行
: 總結一下,根據作者自己的技術細節,攻擊要成立的前提是:
: 1. 你已經裝了一個惡意 app
: 或是底下三個條件同時滿足:
: 1. 遊戲支援透過 URL 的方式打開
: 2. 攻擊者可以透過遊戲本身的機制,寫一個檔案並控制內容
: 3. 你點了一個惡意 URL,觸發 Unity 漏洞
: 由於文章只有寫到 Android 的,因此不太確定其他平台的細節
: 這漏洞之所以嚴重,是因為被觸發之後就可以控制 Unity 打包出來的 app
: 但觸發條件是否容易,就看大家怎麼想了
CVE-2025-59489
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
目前有爭議的是AC
AC (Attack Complexity) = H (High)攻擊條件複雜,必須滿足特定情境才能成功。
→ 代表漏洞不容易被利用。
AC:L (Low):利用條件簡單、容易利用。
誰對AC說的對我不知道
老美可能是覺得公司不太有人會裝unity 所以寫個H 但對玩家來說這是L吧
如果你不是一個沒有錢的玩家
最好是相信AC:L 先把所有的"可能是"unity的遊戲都先砍掉
這漏洞 一般小公司還不一定會補
如果我是駭客 我就一定拿活俠傳之類的開刀 兩人小公司產品又熱銷
受害者又都是台灣跟老共 連受害範圍都很好確認
一堆老外討厭死我們這兩個亞洲國家了 天知道會不會拿這個開刀
活俠開發者根本可能連這新聞都不知道...
其他老美都認定一致
PR (Privileges Required) = N (None)不需要任何帳號或系統權限。
→ 一旦能觸發條件,攻擊者不必先有權限。
UI (User Interaction) = N (None)不需要受害者操作。
→ 完全自動,不依賴使用者點擊或開啟檔案。
推文說不用admin就不會中
老美都說了 這是最低權限都會中 先砍再說吧
如果一直都無法排除AC:L 你又有錢...還是不要跟自己的勞動所得開玩笑吧
推文說不要亂點連結就不會中
這是直接載入 不管你有沒有點都會中
當然就算你啥都不幹 也可能沒出事
就像詐騙每月都創新高 但你我都沒被騙 被騙的都是蠢人
但我看到這東西 我會怕 所以我自己有砍掉所有我不確定是不是unity的
只留確定是ue
歡迎指正
※ 引述《Y78 (Y78)》之銘言:
: 昨天剛好看到漏洞發現者 RyotaK 寫的技術細節,簡單講一下
: 有技術背景的可以自己看:
: https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
: 在 Android 上,手機 app 可以透過發起一個叫 intent 的東西打開另一個 app
: 打開的時候可以傳參數過去
: 而 Unity 在這部分沒有處理好,導致會直接載入其他 app 傳來的程式碼
: 因此一個惡意 app 就可以透過這種方式,再利用 Unity 包出來的遊戲執行程式碼
: 這是第一種攻擊方式
: 再強調一次
: 攻擊前提是:你先裝了一個惡意 app,再透過這個惡意 app 攻擊 Unity 引擎
: 攻擊成功之後,就看你原本遊戲有什麼權限,就可以拿到什麼權限
: 但由於你要先裝一個惡意 app
: 在你裝惡意 app 的時候,它其實本來就可以做很多事了,不需要透過 Unity
: 透過 Unity 就只是可以偷到這個 app 的更多資料,或是拿到更多權限
: 例如說 app 通常只有自己能存取自己的東西
: 因此透過 Unity 這個漏洞,可以讓其他 app 來把你東西偷走
: 第二種攻擊方式是,有些 app 會可以利用 URL 去發這個 intent
: 就不需要先裝惡意 app(這個不是預設的設置,需要開發者自己加上)
: 但由於 Android 本身的權限問題,會阻擋一些可疑位置的檔案載入
: 所以還需要搭配 app 本身的機制,想辦法讓攻擊者能夠寫一個檔案
: 接著再載入這個檔案才行
: 換句話說,假設一個遊戲要有問題,它本身的機制必須能讓攻擊者去寫入檔案
: 原文給的案例是 Facebook Messenger 的快取可以被攻擊者控制,利用它寫檔案
: 但遊戲的話應該就是 case by case 了,要先找到能控制寫檔案的方法
: 才有辦法寫入惡意程式碼,然後利用 URL 執行
: 總結一下,根據作者自己的技術細節,攻擊要成立的前提是:
: 1. 你已經裝了一個惡意 app
: 或是底下三個條件同時滿足:
: 1. 遊戲支援透過 URL 的方式打開
: 2. 攻擊者可以透過遊戲本身的機制,寫一個檔案並控制內容
: 3. 你點了一個惡意 URL,觸發 Unity 漏洞
: 由於文章只有寫到 Android 的,因此不太確定其他平台的細節
: 這漏洞之所以嚴重,是因為被觸發之後就可以控制 Unity 打包出來的 app
: 但觸發條件是否容易,就看大家怎麼想了
作者: Y78 (Y78) 2025-10-04 20:30:00
我第一眼看到的其實是那個 AV:L攻擊前提是你要有 local access,沒辦法從 network 打進來因此攻擊主軸還是電腦/手機裡先有其他程式被掌控,能執行指令然後再透過 unity 來提權 (當然 network 也能打但前提更多)不過我也認同全部移掉當然是最安全的,保證不會被打XD
作者: Gwaewluin (神無月 孝臣) 2025-10-04 20:36:00
米哈遊之死
作者: spfy (spfy) 2025-10-04 20:37:00
遊戲都移掉我哀配就能丟了
作者: Valter (V) 2025-10-04 20:38:00
現在中國又在放長假 各廠大概要call人來加班了
作者: a5480277 (tk) 2025-10-04 20:39:00
我怎麼覺得還好 理論上也要知道package name阿換句話說 你裝一些冷門的 那怕是unity的 也沒事吧
作者: inte629l 2025-10-04 20:45:00
推
作者: eva05s (◎) 2025-10-04 21:12:00
沒辦法,會擔心除了全砍也不能怎樣,是說活俠這種有人在顧的還有更新機會,但真要到你說的程度,DL那邊半年以前的上架的瑟瑟,只要確定是unity 基本都可以不用買了,因為九成不會更新....
作者: jackyT (Ubuntu5566) 2025-10-04 21:18:00
從遊戲app提權其實蠻難用的吧 遊戲是要多少權限
作者: XFarter (劈哩啪啦碰碰碰) 2025-10-04 21:36:00
不用到全砍啦 但這個漏洞很容易在套件引用鏈裡面被利用是真的 不過反過來說這個洞只要你不要把不該關掉的保險機制們關掉 下個禮拜之後問題就不大
作者: nisioisin (nemurubaka) 2025-10-04 22:59:00
不是說從更新後的steam啟動的不會中?然後O宅是禁詞 小心被檢舉鳴潮windows就直接要admin權限呀 不過他是UE不是unity遊戲不用甚麼權限可是很多開發者很隨便能要都要 尤其手機App
作者: Fantasylio (運命の風) 2025-10-04 23:57:00
結果活俠馬上修漏洞XD
作者: Royalweger (絕代之狂) 2025-10-05 00:04:00
那這樣PTCG POCKET是不是要先刪掉IOS版
