|
CVE-2025-59489:该漏洞为“不安全的文件加载 / 本地文件包含(local file inclusion)”类缺陷,会在某些平台下导致以应用程序权限执行任意代码或读取敏感文件。Unity 已把它标为高危并发布修复建议,开发者需要马上采取行动。 影响范围:凡用 Unity 编辑器 2017.1 及之后版本 构建并发布的应用/游戏,在 Windows、Android、macOS、Linux 等平台上可能受影响(部分平台或构建选项不受影响,例如 iOS、主机平台与 WebGL 在官方说明中列为不受影响/例外,详细平台清单请以 Unity 官方公告为准)。 严重度:官方给出的评分属于高危(示例报道引用 CVSS ~8.4),但官方同时声明“目前没有证据显示已被大规模利用”。 已采取/推荐的缓解措施:Unity 发布了编辑器补丁并建议开发者用已修复的 Editor 重新编译并重新发布受影响的游戏;对无法立即重建的发行版本,Unity 也提供了针对 Windows/Android/macOS 的二进制补丁器(但对启用了反作弊/防篡改的构建或某些 Linux 构建可能无效)。此外,平台方(如 Valve/Steam、Microsoft Defender 等)已经推出额外检测/缓解措施以降低风险
Steam 本身已经更新以阻止这些命令行参数,所以只要你直接通过 Steam 启动游戏,就算安全。攻击者要利用尚未更新的游戏,首先得诱骗你直接从命令行运行游戏可执行文件,并带上错误的命令行参数。所以如果你担心,只要通过 Steam 启动你的游戏即可。
闹得还挺大, 我好多年前注册了中国Unity引擎, 都给我发邮件说这个安全漏洞了
| 
沪公网安备 31010702007642号 )
发表于 2025-10-6 06:23
