Unity 游戲引擎近期被安全研究員 RyotaK 曝光存在一項(xiàng)高危安全漏洞，其官方漏洞編號(hào)為 CVE-2025-59489，這一發(fā)現(xiàn)迅速引發(fā)了游戲與軟件開發(fā)領(lǐng)域的廣泛關(guān)注。經(jīng)技術(shù)分析確認(rèn)，該漏洞本質(zhì)上源于不受信任的搜索路徑缺陷(CWE-426)，攻擊者可借助參數(shù)注入手段利用應(yīng)用程序中不安全的文件加載機(jī)制，實(shí)現(xiàn)本地權(quán)限的非法提升，進(jìn)而在受影響設(shè)備上執(zhí)行任意惡意代碼，存在竊取用戶機(jī)密信息等嚴(yán)重風(fēng)險(xiǎn)。在通用漏洞評(píng)分系統(tǒng)(CVSS)中，該漏洞評(píng)分達(dá)到 7.4 至 8.4 分(滿分 10 分)，屬于典型的高危級(jí)別漏洞，其中 Android 平臺(tái)面臨的風(fēng)險(xiǎn)最高，同時(shí)存在代碼執(zhí)行與權(quán)限提升雙重威脅，而 Windows、Linux 和 macOS 平臺(tái)則主要面臨權(quán)限提升風(fēng)險(xiǎn)。

　　從影響范圍來看，這一漏洞的波及面極為廣泛，所有使用 Unity 2017.1 及更高版本編輯器開發(fā)、并在 Android、Windows、Linux 和 macOS 操作系統(tǒng)上發(fā)布的游戲及應(yīng)用程序均未能幸免，全球范圍內(nèi)數(shù)百萬款已部署的相關(guān)作品都存在安全隱患。值得注意的是，即便是部分采用其他引擎開發(fā)的游戲，若其附屬功能(如高級(jí)版隨附的數(shù)字畫冊(cè)、藝術(shù)設(shè)定集等)使用了 Unity 技術(shù)，也同樣被納入受影響范疇。

　　針對(duì)這一緊急情況，Unity 官方已迅速采取應(yīng)對(duì)措施。截至消息發(fā)布時(shí)，Unity 已在 2019.1 版本中完成了該漏洞的修復(fù)工作，同時(shí)為開發(fā)者提供了專用的二進(jìn)制修復(fù)文件，允許開發(fā)者無需對(duì)現(xiàn)有游戲進(jìn)行完整重編即可完成安全加固，這一舉措為維護(hù)中的老項(xiàng)目提供了便捷的補(bǔ)救方案。Unity 方面表示，目前尚無明確證據(jù)表明該漏洞已被攻擊者實(shí)際利用，也未收到用戶或客戶因該漏洞遭受損失的報(bào)告，但出于風(fēng)險(xiǎn)防范的嚴(yán)謹(jǐn)考量，官方仍強(qiáng)烈要求所有相關(guān)開發(fā)者立即行動(dòng)，通過使用修復(fù)版編輯器重新編譯項(xiàng)目或應(yīng)用二進(jìn)制補(bǔ)丁的方式加固產(chǎn)品，并盡快分發(fā)更新后的版本。

　　漏洞曝光后，游戲行業(yè)上下游迅速聯(lián)動(dòng)開展應(yīng)急響應(yīng)。多個(gè)知名大型工作室與獨(dú)立開發(fā)團(tuán)隊(duì)第一時(shí)間啟動(dòng)產(chǎn)品整改，其中黑曜石娛樂采取了較為謹(jǐn)慎的策略，將旗下包括《永恒之柱 2》《Pentiment》《禁閉求生 2》創(chuàng)始者版以及《宣誓》高級(jí)版在內(nèi)的多款作品暫時(shí)從 Xbox 商店、PlayStation 商店及 Steam 等主流數(shù)字平臺(tái)下架，待漏洞修復(fù)完成后再恢復(fù)上架 —— 值得一提的是，《宣誓》本體雖采用虛幻引擎開發(fā)，但因附屬藝術(shù)集使用 Unity 制作，故其高級(jí)版本也需同步下架處理。Innersloth 旗下的熱門游戲《Among Us》與 Second Dinner 的《漫威終極逆轉(zhuǎn)》(《漫威 Snap》)等作品則已完成補(bǔ)丁更新，及時(shí)消除了安全隱患。

　　作為重要的平臺(tái)方，微軟與 Valve 也迅速出臺(tái)防護(hù)措施。微軟安全響應(yīng)中心發(fā)布公告稱，其安全與游戲開發(fā)團(tuán)隊(duì)正全力推進(jìn)受影響作品的更新工作，并建議 PC 玩家暫時(shí)卸載未修復(fù)的游戲;對(duì)于已停止維護(hù)的老舊作品，微軟已啟動(dòng)下架流程，涉及《Mighty Doom》《上古卷軸：傳奇》《Gears POP!》《Halo Recruit》《毀滅戰(zhàn)士(2019)》《爐石傳說》等眾多知名作品，以此避免用戶遭受潛在風(fēng)險(xiǎn)。Valve 則通過 Steam 客戶端的更新部署了針對(duì)性防護(hù)，當(dāng)檢測(cè)到利用該漏洞的攻擊嘗試時(shí)，將直接阻止游戲啟動(dòng)，為平臺(tái)用戶構(gòu)建額外安全屏障，該防護(hù)措施已隨 10 月 3 日發(fā)布的 Steam 客戶端更新正式上線。此外，微軟 Defender 也同步更新了防護(hù)機(jī)制，可自動(dòng)識(shí)別并阻斷與該漏洞相關(guān)的攻擊行為，形成多維度的安全防護(hù)網(wǎng)絡(luò)。