※ [本文轉錄自 C_Chat 看板 #1euEEnn_ ]
作者: zero003 (大河痛PSP) 看板: C_Chat
標題: [情報] 遊戲引擎Unity爆重大安全漏洞
時間: Sat Oct 4 17:06:43 2025
https://reurl.cc/2QqdKa
https://unity.com/cn/security/sept-2025-01/remediation
遊戲引擎大廠Unity公開自家安全漏洞CVE-2025-59489
惡意攻擊者可以透過Unity載入過程繞過權限安插惡意程式。
CVSS等級:8.4 (通用漏洞評分系統,最嚴重10分)
》影響範圍包含:
2017.1版之後所有使用Unity建立的Android、Windows、Linux、macOS遊戲
》官方建議:
所有受影響專案的開發者都應該必須立刻採取行動。
以最新版本的Unity將遊戲重新打包
。本漏洞由日本資安公司GMO Flatt Security 研究員 RyotaK
於2025年5月在Meta舉辦的資安漏洞懸賞活動中發現,
由於本漏洞的影響範圍之大,
RyotaK在該活動中拿下首獎以及最有影響力獎。
https://scan.netsecurity.ne.jp/article/2025/09/03/53550.html
。目前Steam已更新客戶端,能夠阻止惡意攻擊者試圖使用此漏洞
只要你透過最新版本的Steam客戶端而非網頁指令之類的方式啟動遊戲,就是安全的,
攻擊者必須先誘騙受害者下載惡意軟體,再誘騙受害者啟用這個漏洞才能成功
未更新的遊戲不會自己長出病毒
https://reurl.cc/vLNZEl
。微軟發出公告
Fallout Shelter
Wasteland 3
鬼線 東京
永恆之柱系列
等多款使用Unity開發的遊戲已經下架,待處理完畢後重新上架
並且告知使用者在微軟處理完畢前建議移除這些遊戲
https://reurl.cc/yAV3XE
。由於Unity使用非常廣泛,目前約有七成的手機遊戲都受此漏洞影響
https://reurl.cc/VWVdqA
作者:
nahsnib (æ‚Ÿ)
2024-10-04 17:07:00出大事
作者:
eva05s (◎)
2024-10-04 17:08:00真的很大條
作者: pokemon (缺工作) 2024-10-04 17:08:00
大的來了
作者:
Valter (V)
2024-10-04 17:10:00不是寫了 所有2017.1版後開發的遊戲
作者:
fly9588 (沒有夢想的未來)
2024-10-04 17:11:00文章都寫版本了
2017以後也太多 H-game 就不知道多少款了
作者:
dnek (哪啊哪啊的合氣道)
2024-10-04 17:11:00就這還想多收錢
作者:
lsd25968 (cookie)
2024-10-04 17:11:007成 直接默認你手上的遊戲一定有中標就好了==
作者:
Echobee (吐痰卡門)
2024-10-04 17:12:00完了完了要變殭屍了
作者: GaoLinHua 2024-10-04 17:12:00
(′・ω・`) 還想按裝機數收費 應該按裝機數賠償吧
作者: fortrees (九黎鯀) 2024-10-04 17:13:00
一大堆
作者: furret (大尾立) 2024-10-04 17:13:00
70%根本極廣泛
作者:
n3688 (none)
2024-10-04 17:13:00你的個資可能又又又再一次被盜了
作者:
snocia (雪夏)
2024-10-04 17:13:00除了近年用ue5自嗨做的手遊,或者小遊戲以外應該全中標
作者:
Echobee (吐痰卡門)
2024-10-04 17:13:00魔改unity應該不包括在內 不過是中國開發的
作者:
qd6590 (說好吃)
2024-10-04 17:13:00難怪我昨天夢到我的gmail被盜帳號拿去推廣賣炸雞
作者:
qd6590 (說好吃)
2024-10-04 17:14:00魔改版原本的漏洞也會在吧 除非剛好是魔改掉的地方
作者: arceus 2024-10-04 17:15:00
好眼熟 是檔案前陣子出的那件事嗎?
2017已經是8、9年前的事了,將近這10年完全沒有用過更新還在這版本的真的會有這種人?
作者:
felaray (傲嬌魚)
2024-10-04 17:16:00這下有趣了
作者:
dnek (哪啊哪啊的合氣道)
2024-10-04 17:16:002017年後的每種版本都有這漏洞吧
作者:
Echobee (吐痰卡門)
2024-10-04 17:16:00嚇的我把庫裡的unity黃遊全砍了
作者:
n3688 (none)
2024-10-04 17:16:00很多虛假廣告糞手遊都是unity
作者:
eva05s (◎)
2024-10-04 17:16:002017版「之後所有」
作者: SunnyBrian (人気薄二冠馬) 2024-10-04 17:17:00
幹
2017版「之後所有」 為什麼AmeNe講的好像是2017年版?
這是2017年開始的漏洞吧,居然埋了這麼久才被發現
我說的是還停留在2017以前,完全沒有更新過版本= =
「2017.1版之後所有使用Unity建立」前面有人沒看懂吧,這之前的反而沒事
作者:
jkkkj123 (ç…ŒåŸ ä¹‹æ²è˜‡)
2024-10-04 17:18:00這是強迫開發者更新吧 要為了漏洞除錯到瘋掉了嗎
"2017版之後所有" 到底要怎麼理解才能理解成只有2017版
作者: JOPE (JOPE) 2024-10-04 17:18:00
那些獨立遊戲很難更新吧
作者: AirForce00 (丹陽P) 2024-10-04 17:19:00
虛幻是Unreal (EPIC開發的),Unity是Unity
作者:
aaaaooo (路過鄉民)
2024-10-04 17:19:00家機又逃過一劫
作者:
Y1999 (秋雨)
2024-10-04 17:19:00直接說全中可能比較快
作者: fuhsingeek 2024-10-04 17:20:00
2017.1所有之後的所有版本都有危險 這跨度也太大了==乾脆跟我說把所有unity做的遊戲解除安裝比較快
我換個說法,誰還停留在10年前完全不更新這樣可以懂我的意思嗎= =
作者:
dos01 (朵斯01)
2024-10-04 17:20:00這破東西之前不是還喊著要收費 就這?
作者:
BOARAY (RAY)
2024-10-04 17:21:00難怪塔克夫優化大變
作者:
issoap (soap)
2024-10-04 17:21:00最後紀元好像也是
那你這問題不就廢問 正常開發者本來就不會特意鎖2017之前
作者:
Echobee (吐痰卡門)
2024-10-04 17:21:00然後現在才講其實也晚了 早就裸奔不知道多久了
作者:
Y1999 (秋雨)
2024-10-04 17:21:00十年前的遊戲,你可能要玩個軒轅劍三才能沒事
作者:
zseineo (Zany)
2024-10-04 17:21:00是有極少的可能遊戲做很久 但不又想更新環境啊但就很個案
作者: zeal63966 2024-10-04 17:21:00
叫的出名字的手遊9成是
作者:
dnek (哪啊哪啊的合氣道)
2024-10-04 17:21:00喔看懂了,2017年到現在沒中的確實不太可能
作者:
spfy (spfy)
2024-10-04 17:22:00查了一下 很神奇的是受影響主流平台除了iOS以外其他全有
不是,我原說法也不是真心問這個的啊,反諷要加個括號嗎
作者: zeal63966 2024-10-04 17:22:00
PAD肯定就沒事都10周年了
2017 這也太久了吧 你有持續追新遊戲的話 100%中標
作者:
spfy (spfy)
2024-10-04 17:23:00但不同的漏洞細節在不同平台從不同的版本開始有問題
作者: storyo11413 (小便) 2024-10-04 17:23:00
直接把手機電腦砸掉比較快 等漏洞補再買
作者:
satheni (看到羊就想睡..)
2024-10-04 17:23:00活俠呢?
作者:
a205090a (CAN DO IT)
2024-10-04 17:23:00這也要有門路在你電腦裡塞東西等你開遊戲才能跑
作者:
a205090a (CAN DO IT)
2024-10-04 17:24:00一般電腦玩家影響不大啦==
作者:
funkD (放å¯)
2024-10-04 17:24:00乾 你這乾脆叫人整台重灌好了==
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:25:00遊戲全部卸載等更新囉
作者: fuhsingeek 2024-10-04 17:25:00
我Steam現在待更新有4款 只有一款註記安全性更新不知道要怎樣 白癡unity==
作者:
eva05s (◎)
2024-10-04 17:25:00老話一句,養成良好習慣不要亂執行奇怪的檔案就有可以防八成毒害
作者: believefate (小瑜) 2024-10-04 17:25:00
完了完了 大雞雞視訊要被人偷看到了
作者:
spfy (spfy)
2024-10-04 17:26:00RCE漏洞就是影響超級嚴重但能觸發的場合很可能辦不到 例如有些可能是9.9分但要物理接觸機器才能使用 這就...還是預防吧
作者:
n3688 (none)
2024-10-04 17:26:00我玩的SEGA手遊有公告沒中標
作者:
sezna (sezna)
2024-10-04 17:26:00活俠傳也是吧
作者:
bomda (蹦大)
2024-10-04 17:26:00三小啊= =
作者: tiaushiwan 2024-10-04 17:27:00
所以是要怎樣 全部遊戲刪光?
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:28:00作者:
johnny3 (キラ☆)
2024-10-04 17:28:00簡單的說就是所有unity遊戲吧
作者:
spfy (spfy)
2024-10-04 17:28:00但用AI整理了一下 從2017開始但不是到現在為止的最新版本有些分支和子版本從2021就開始修了 應該可以理解成這個漏洞
作者: tn1983 2024-10-04 17:29:00
三小 這樣鐵原絕得先刪掉嗎
作者:
Echobee (吐痰卡門)
2024-10-04 17:29:00意思是可以用unity引擎當作entry point神不知鬼不覺的裝後門程式對吧
作者:
spfy (spfy)
2024-10-04 17:29:00影響範圍是2017版本到(2021-2023看你用哪個版本)
作者:
johnny3 (キラ☆)
2024-10-04 17:29:00有辦法os補漏洞嗎 還是一定要遊戲開發商自己補
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:30:00都說得開發者自己重新包裝了
作者:
dylantu ( ′・ω・‵)
2024-10-04 17:30:00哇靠這個厲害了
作者:
grtfor (哦啦啦)
2024-10-04 17:30:00地圖砲的毀滅型漏洞.....
作者:
RKain (No Game No Life)
2024-10-04 17:30:00黃油中槍機率應該高很多,長時間更新的遊戲不一定會更新unity版本,啊問題是2017真的太久遠了一堆手遊/遊戲應該都比2017新甚至也重新包成2017後的unity了
作者: tim479974 (雷斯加雷特) 2024-10-04 17:30:00
出大事
作者:
spfy (spfy)
2024-10-04 17:30:00除非是熔斷或幽靈漏洞那種動搖國本漏洞 才會OS先搶救一下吧
作者:
polo2k 2024-10-04 17:30:00手遊和獨立遊戲大規模都在用這引擎
這無解啊,看意思理解是要開發商重新用新版本影響打包更新遊戲,那些老遊戲開發商還在不在都不知道的不就吃屎了
作者:
zseineo (Zany)
2024-10-04 17:31:00就 等它修啊 怕就把遊戲砍一砍 反正漏洞存在這麼久了
作者:
Tryfing ((′・ω・))
2024-10-04 17:31:002017年的漏洞你8年後才講,不如躺平等死吧==
作者:
satheni (看到羊就想睡..)
2024-10-04 17:31:00老遊戲刪一刪了,我不信他們會更新
作者:
spfy (spfy)
2024-10-04 17:31:00沒吧 這漏洞編號是2025 今年發現的
作者:
RKain (No Game No Life)
2024-10-04 17:31:00只是正常的黃油應該很難被插入惡意程式吧,除非開發者拿到非官方的版本開發...
作者:
ilohoo (ilohoo)
2024-10-04 17:32:00獨立遊戲幾乎都是Unity 好上手 資源也豐富
作者:
snocia (雪夏)
2024-10-04 17:32:00基本上開發商/代理商已經消失的都可以刪了
作者:
eva05s (◎)
2024-10-04 17:32:00講白點你不閒著沒事幹上奇怪網站或者抓奇怪執行檔基本沒事,除非人家趁著遊戲更新塞給你東西去用這個洞執行,不然都裸奔快十年了有差逆
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:32:00有辦法拉 用沙箱隔離一個環境來啟動遊戲 應該可以緩解
作者:
RKain (No Game No Life)
2024-10-04 17:33:00當然如果惡意的開發者就...
作者:
fuhu66 (⊙)(⊙)
2024-10-04 17:33:00dl買的瑟瑟遊戲大概都完了,就算有更新還得再下載一次
作者:
Echobee (吐痰卡門)
2024-10-04 17:33:00不妨等等看第一個會更新的黃遊是哪一款
作者:
sobiNOva (星星徹夜未眠)
2024-10-04 17:33:00今年發現的 可是是從以前版本就有了
作者:
grtfor (哦啦啦)
2024-10-04 17:34:00七成的手機遊戲....
作者:
eva05s (◎)
2024-10-04 17:34:00惡意開發者就steam 前陣子也有過啊,更新直接塞毒給你吧,這個有沒有洞都一樣出事
作者:
Akukin (社長)
2024-10-04 17:34:00DL色色遊戲有一票是RPG製作大師的 但留一部分就是這個引擎的 要看買哪種
作者:
ilohoo (ilohoo)
2024-10-04 17:34:00甚至大廠也會用 不過拿來用之前會先魔改成適合的樣子 像是爐石的客戶端 激鬥峽谷之類的我記得都是unity
作者:
Richun (解放左手的OO之力)
2024-10-04 17:34:00載入過程,那有mod的遊戲不就死定了?
作者:
spfy (spfy)
2024-10-04 17:34:00就是你的程式從2017之後的版本 有個寫法一直有問題 但今年才被研究人員發現 被提交為CVE漏洞
作者:
Echobee (吐痰卡門)
2024-10-04 17:35:00這是被官方發現 天知道駭客是不是更早就發現了 你要賭嗎
作者:
spfy (spfy)
2024-10-04 17:36:00不過Unity自己有整理已修補的版本 有些分支版本早就修了
作者: ringil (Ringil) 2024-10-04 17:37:00
超大包
作者: tn1983 2024-10-04 17:37:00
建議別賭 至少等到你那款遊戲進行處理後再裝回來
作者:
spfy (spfy)
2024-10-04 17:37:00主要是遊戲引擎這種底層的東西一般開發團隊應該不會沒事升級
作者:
spfy (spfy)
2024-10-04 17:38:00應該一個版本用很久 這才會開發升級後重打包
作者:
eva05s (◎)
2024-10-04 17:38:00最大問題是很多人搞不好根本不知道哪些遊戲是unity的
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:40:00如果你的遊戲來源都是不知名論壇來的就...........
講到2017,就想到Wanncry,當時全球都災情慘重
作者:
eva05s (◎)
2024-10-04 17:43:00其實現在時不時也還是有受害者
作者:
grtfor (哦啦啦)
2024-10-04 17:43:00查了一下 steam,本體有 10/2的用戶更新了建議可以更新 steam一下用戶端
作者: hayate65536 2024-10-04 17:45:00
手遊全中了吧
作者:
XFarter (劈哩啪啦碰碰碰)
2024-10-04 17:45:00我的理解是基本上對「正常」下載管道的一次性玩家來說 +Steam 這種同步平台只要沒被打穿問題就不大但對盜版玩家就不是這麼一回事了 有心的玩家就可以偷偷放東西進行 RCE 了*有心的分享者或製作者就可以對
作者:
sobiNOva (星星徹夜未眠)
2024-10-04 17:46:00都盜版了有差這個權限嗎XD
笑了 元祖pixel dungeon這種等級的可能沒事
作者:
XFarter (劈哩啪啦碰碰碰)
2024-10-04 17:47:00但這大概對 DLSITE 這種分享獨立遊戲或小眾遊戲的網站相當傷 有太多社交工程可能可以間接利用這個洞了(如果知道怎麼觸發)
作者:
XFarter (劈哩啪啦碰碰碰)
2024-10-04 17:49:00阿對 謝謝樓上指正
作者: testlab 2024-10-04 17:49:00
出事拉==
作者:
zseineo (Zany)
2024-10-04 17:49:00是說先載一個東西,幫你的遊戲加料後hack你 跟你載的東西
作者: hayate65536 2024-10-04 17:50:00
呃…那個…有一大堆的人,手遊都是抓第三方供應apk跨區玩的喔
作者:
zseineo (Zany)
2024-10-04 17:50:00本身帶毒差別在哪?後者比較容易被防毒抓到嗎
作者:
mkcg5825 (比叡我老婆)
2024-10-04 17:50:00怕
這個漏洞需要有惡意dll已經在電腦裡 並且被unity錯誤加載
作者: a2156700 (斯坦福橋) 2024-10-04 17:51:00
所以現在電腦手機要怎麼做
作者:
spfy (spfy)
2024-10-04 17:51:00是欸要本地觸發...
作者:
iuytjhgf (′‧ω‧‵)
2024-10-04 17:52:00社交工程很好做阿 謝謝樓主分享 永遠不缺衛生紙
作者: ken121 2024-10-04 17:52:00
不只手遊 最近玩的機戰y也是unity欸
作者:
spfy (spfy)
2024-10-04 17:52:00一般人就是等更新 不要亂點奇怪連結(基本資安意識)
作者:
eva05s (◎)
2024-10-04 17:53:00就跟平時一樣,有更新的等官方更新,沒更新的你本地不亂抓亂開東西理論上也不會有事
作者:
a205090a (CAN DO IT)
2024-10-04 17:54:00本身帶毒很容易偵查 hack程序一般來說不會被偵測到有害
怕的是漏洞本來還沒人知道,一公告了就有人惡意要來了
作者:
zseineo (Zany)
2024-10-04 17:55:00所以是容不容易被抓到的區別 謝謝
作者:
a205090a (CAN DO IT)
2024-10-04 17:56:00掃毒本身的原理就是每個檔案都過過一次濾網
作者:
a205090a (CAN DO IT)
2024-10-04 17:58:00本身帶毒就是濾網都過不去 夾在其他檔案裡就是類似偽裝突破濾網去執行
作者:
kinuhata (kinuhata)
2024-10-04 17:58:00這範圍太大了想救都救不了 常玩遊戲的根本不可能不碰到
剛剛用steam才抓好一個遊戲 看了一下是unity
作者:
sobiNOva (星星徹夜未眠)
2024-10-04 17:59:00這樣小黃油的確危險一點 通常都要額外抓補丁
作者: rolldada (五千兩) 2024-10-04 17:59:00
已停更的老遊戲不就沒救了
作者:
a205090a (CAN DO IT)
2024-10-04 18:00:00更新就沒事了 如果你的檔案是從正規管道下載的99%沒事唯一1%可能性是某個駭客直接從開發商那裡塞檔案進去遊戲但如果你下載的是盜版來源 那就有其他人加料的空間
作者: Erishcross 2024-10-04 18:02:00
這也太多...
也不用盜版啊,人家做一個mod,然後你裝了,不就中了?尤其是獨立遊戲很多都有Mod的額外玩法
作者:
eva05s (◎)
2024-10-04 18:04:00更新前別裝啊,再說MOD藏毒這點有沒有這個洞都可能發生吧
現在這個狀況大概就,反正你也裸奔快十年了,如果都是從Steam用戶端正常在開遊戲又沒裝啥鬼東西大概沒差
作者:
Akukin (社長)
2024-10-04 18:05:00MOD不用引擎有問題就能藏毒了吧==
作者:
eva05s (◎)
2024-10-04 18:05:00實務上來講可能觸發這個洞的方式幾乎也都可以用來觸發其他不當程式啊所以最後不就又回到最原始的資安概念:不要亂抓亂開亂逛
藏毒要不被發現才叫藏吧,不然這樣說非法來源也是藏毒,好像沒有什麼討論空間了那是不是這洞沒有差了
作者: adwn 2024-10-04 18:06:00
出大事了
作者:
SPDY (Alex)
2024-10-04 18:09:00能釣魚藏毒的手段之一 總之洞有補好過沒補
作者: MyPetTankDie 2024-10-04 18:10:00
怕
基本上這八年都中了,就看你有什麼重要的東西,值得被拿走,當你毫無價值的時候,其實啥不會發生
作者:
superRKO (朋友最重要)
2024-10-04 18:15:00欸幹 我的戴森球…
作者: asiaking5566 (無想轉生) 2024-10-04 18:15:00
都幾年了 沒差這幾天
作者:
YeaPa (葉胖)
2024-10-04 18:18:00要怕的是盜版仔跟不明來源的安裝檔吧
作者:
asteea (Asteea)
2024-10-04 18:21:00主機難得的大勝利?
作者:
a4786033 (Aldwyn)
2024-10-04 18:24:00Unity超多遊戲耶
作者:
js0431 (嚎冷熊)
2024-10-04 18:30:00幹 這個大的
作者:
XFarter (劈哩啪啦碰碰碰)
2024-10-04 18:33:00問題是這個漏洞的觸發方式對攻擊者疑似不會太過困難,只要他知道某個遊戲固定會讀哪些資料夾的檔案引入 包成類似的 .dll 或 .so 檔案就可能可以 LCE 促成更後續的攻擊?光是你下載個絲之歌中翻中翻譯包可能就會送你自己下去了之類的
作者: MyPetTankDie 2024-10-04 18:35:00
說不是跑Patcher ,就是更新windows defender阻擋指令
作者:
XFarter (劈哩啪啦碰碰碰)
2024-10-04 18:37:00偏偏一堆玩家玩 Unity 遊戲手癢關掉 defender 來為了裝 mod 的不在少數
作者: asphodelux (asphodelux) 2024-10-04 18:40:00
遊戲機工作機還是分開吧 都2025了有好幾台電腦也正常吧
作者:
zseineo (Zany)
2024-10-04 18:42:00房價是個問題
作者:
WLR (WLR™)
2024-10-04 18:44:00沒事,我用NS2和XSX玩遊戲
作者:
Yoimiya (煙花易逝人情長存)
2024-10-04 18:44:00竟然是日本人發現的
作者: k798976869 (kk) 2024-10-04 18:46:00
怕爆
作者: tn1983 2024-10-04 18:51:00
Unity遊戲裝mod就會中獎了
作者:
aaronpwyu (chocoboチョコボ)
2024-10-04 18:51:00能破這麼久也是很厲害 歷史留名了
仔細想想DMM遊戲應該都在範圍內?不過DMM store還沒看到任何的更新檔,在意的自己注意一下
作者:
r98192 (雅特)
2025-10-04 19:06:00突然想到 對魔忍好像就是用Unity做的?靠…RPGX Viewer會不會中獎呀 囧
作者: zee0012002 (zee0012002) 2025-10-04 19:31:00
沒想到裸奔了這麼久
基本上手遊七成中獎,很多遊戲有同時又手機版的應該會一起中,網路上沒有明確指出DMM哪些遊戲用unity,但舊的討論有看到霧車跟馬娘
作者: zee0012002 (zee0012002) 2025-10-04 19:35:00
就看什麼時候你的資料被..
作者:
lennath ( )
2025-10-04 19:40:00RPGX Viewer是JS,沒他的事Viewer是看做的人想怎麼做,和原始本體是兩碼子事
unity的話你DMMP抓下來會很明顯啦C://user 相關的資料夾點開就很明顯 會有Unity開頭的檔案閃星 藝術都明確是unity
作者: a77942002 2025-10-04 21:43:00
只玩網頁版沒事~?
作者:
KBTIT (諸行無常)
2025-10-04 22:51:00MLGG也是