Unity 游戲引擎近期被安全研究員 RyotaK 曝光存在一項高危安全漏洞，其官方漏洞編號為 CVE-2025-59489，這一發(fā)現(xiàn)迅速引發(fā)了游戲與軟件開發(fā)領(lǐng)域的廣泛關(guān)注。經(jīng)技術(shù)分析確認(rèn)，該漏洞本質(zhì)上源于不受信任的搜索路徑缺陷(CWE-426)，攻擊者可借助參數(shù)注入手段利用應(yīng)用程序中不安全的文件加載機制，實現(xiàn)本地權(quán)限的非法提升，進而在受影響設(shè)備上執(zhí)行任意惡意代碼，存在竊取用戶機密信息等嚴(yán)重風(fēng)險。在通用漏洞評分系統(tǒng)(CVSS)中，該漏洞評分達到 7.4 至 8.4 分(滿分 10 分)，屬于典型的高危級別漏洞，其中 Android 平臺面臨的風(fēng)險最高，同時存在代碼執(zhí)行與權(quán)限提升雙重威脅，而 Windows、Linux 和 macOS 平臺則主要面臨權(quán)限提升風(fēng)險。

　　從影響范圍來看，這一漏洞的波及面極為廣泛，所有使用 Unity 2017.1 及更高版本編輯器開發(fā)、并在 Android、Windows、Linux 和 macOS 操作系統(tǒng)上發(fā)布的游戲及應(yīng)用程序均未能幸免，全球范圍內(nèi)數(shù)百萬款已部署的相關(guān)作品都存在安全隱患。值得注意的是，即便是部分采用其他引擎開發(fā)的游戲，若其附屬功能(如高級版隨附的數(shù)字畫冊、藝術(shù)設(shè)定集等)使用了 Unity 技術(shù)，也同樣被納入受影響范疇。

　　針對這一緊急情況，Unity 官方已迅速采取應(yīng)對措施。截至消息發(fā)布時，Unity 已在 2019.1 版本中完成了該漏洞的修復(fù)工作，同時為開發(fā)者提供了專用的二進制修復(fù)文件，允許開發(fā)者無需對現(xiàn)有游戲進行完整重編即可完成安全加固，這一舉措為維護中的老項目提供了便捷的補救方案。Unity 方面表示，目前尚無明確證據(jù)表明該漏洞已被攻擊者實際利用，也未收到用戶或客戶因該漏洞遭受損失的報告，但出于風(fēng)險防范的嚴(yán)謹(jǐn)考量，官方仍強烈要求所有相關(guān)開發(fā)者立即行動，通過使用修復(fù)版編輯器重新編譯項目或應(yīng)用二進制補丁的方式加固產(chǎn)品，并盡快分發(fā)更新后的版本。

　　漏洞曝光后，游戲行業(yè)上下游迅速聯(lián)動開展應(yīng)急響應(yīng)。多個知名大型工作室與獨立開發(fā)團隊第一時間啟動產(chǎn)品整改，其中黑曜石娛樂采取了較為謹(jǐn)慎的策略，將旗下包括《永恒之柱 2》《Pentiment》《禁閉求生 2》創(chuàng)始者版以及《宣誓》高級版在內(nèi)的多款作品暫時從 Xbox 商店、PlayStation 商店及 Steam 等主流數(shù)字平臺下架，待漏洞修復(fù)完成后再恢復(fù)上架 —— 值得一提的是，《宣誓》本體雖采用虛幻引擎開發(fā)，但因附屬藝術(shù)集使用 Unity 制作，故其高級版本也需同步下架處理。Innersloth 旗下的熱門游戲《Among Us》與 Second Dinner 的《漫威終極逆轉(zhuǎn)》(《漫威 Snap》)等作品則已完成補丁更新，及時消除了安全隱患。

　　作為重要的平臺方，微軟與 Valve 也迅速出臺防護措施。微軟安全響應(yīng)中心發(fā)布公告稱，其安全與游戲開發(fā)團隊正全力推進受影響作品的更新工作，并建議 PC 玩家暫時卸載未修復(fù)的游戲;對于已停止維護的老舊作品，微軟已啟動下架流程，涉及《Mighty Doom》《上古卷軸：傳奇》《Gears POP!》《Halo Recruit》《毀滅戰(zhàn)士(2019)》《爐石傳說》等眾多知名作品，以此避免用戶遭受潛在風(fēng)險。Valve 則通過 Steam 客戶端的更新部署了針對性防護，當(dāng)檢測到利用該漏洞的攻擊嘗試時，將直接阻止游戲啟動，為平臺用戶構(gòu)建額外安全屏障，該防護措施已隨 10 月 3 日發(fā)布的 Steam 客戶端更新正式上線。此外，微軟 Defender 也同步更新了防護機制，可自動識別并阻斷與該漏洞相關(guān)的攻擊行為，形成多維度的安全防護網(wǎng)絡(luò)。