Unity 引擎爆出嚴重安全漏洞 CVE-2025-59489：潛伏近 10 年，Steam 與 Microsoft 緊急應對

潛伏近十年的安全炸彈

Unity Technologies 於 10 月 2 日發布緊急安全公告，揭露編號 CVE-2025-59489 的高危漏洞，影響自 2017.1 版本以來幾乎所有 Unity Editor 版本。

這個漏洞的嚴重性在於：

• CVSS 評分 8.4（高危級別）
• 影響範圍廣泛：從 2017 年至今所有版本
• 潛伏時間長：存在長達 7-10 年未被發現
• 影響用戶數量龐大：數百萬款遊戲和應用程式受波及

更令人震驚的是，Unity 官方表示「目前沒有漏洞被利用的證據」，但這並不代表未來不會成為攻擊目標。

漏洞原理與攻擊方式

技術細節

CVE-2025-59489 屬於 不受信任的搜尋路徑弱點（CWE-426），攻擊者可利用 Unity 應用程式中不安全的檔案載入機制進行攻擊。

該漏洞允許：

• 本地程式碼執行：在受害者裝置上執行任意程式碼
• 權限提升：提升至應用程式權限等級
• 資訊洩露：竊取本地檔案和敏感資訊
• 跨平台威脅：Windows、macOS、Linux 皆受影響

Windows 系統風險特別高

在 Windows 系統上，若受影響應用程式註冊了自訂 URI handler，風險會大幅增加。

攻擊者可透過：

1. 誘導用戶點擊特製的 URI 連結
2. 觸發應用程式的檔案載入機制
3. 載入惡意程式庫
4. 在用戶裝置上執行任意程式碼

這意味著攻擊者 不需要直接存取命令列，只要讓用戶點擊連結即可完成攻擊。

Steam 與 Microsoft 緊急應對

Steam：封鎖自訂 URI 啟動

Valve 迅速發布 Steam Client 更新，封鎖透過自訂 URI 方案啟動應用程式的功能，切斷透過 Steam 平台利用此漏洞的攻擊途徑。

這項措施有效阻止攻擊者透過 Steam 遊戲的 URI handler 發動攻擊，保護大量玩家免受威脅。

Microsoft：建議移除受影響遊戲

Microsoft 發布安全公告，明確指出多款熱門遊戲受到影響：

• Hearthstone（爐石戰記）
• The Elder Scrolls: Blades（上古卷軸：刀鋒）
• Fallout Shelter（異塵餘生：避難所）
• DOOM (2019)
• Wasteland 3（廢土 3）
• Forza Customs

Microsoft 建議用戶移除這些遊戲，直到開發商發布修補版本為止。這項建議凸顯問題的嚴重性——即使是大型遊戲發行商的作品也受波及。

Unity 官方修補方案

漏洞發現時間線

• 2025 年 6 月 4 日：GMO Flatt Security Inc. 的 RyotaK 發現漏洞
• 2025 年 10 月 2 日：Unity 發布修補版本和安全公告
• 潛伏時間：約 7-10 年未被發現

修補版本

Unity 已針對以下版本發布修補：

支援版本：

• 6000.3.0b4
• 6000.2.6f2
• 6000.0.58f2
• 2022.3.67f2
• 2021.3.56f2

停止支援版本： Unity 甚至為已停止支援的版本（回溯至 2019.1）推送修補程式，顯示問題的重視程度。

開發者行動呼籲

Unity 官方發布 「立即採取行動保護您的遊戲和應用程式」 的緊急通知，要求開發者：

1. 立即更新 Unity Editor 至修補版本
2. 重新編譯所有應用程式
3. 重新發布更新版本
4. 通知玩家更新遊戲

官方還提供 詳細修補指南，協助開發者快速應對。

開發者面臨的挑戰

修補規模龐大

這次漏洞的影響範圍前所未見：

• 時間跨度：2017-2025 年，長達 8 年
• 受影響遊戲：數百萬款 Unity 遊戲
• 開發者負擔：每款遊戲都需重新編譯、測試、發布

對於已停止維護的遊戲，開發者必須決定是否重新啟動專案進行修補，這對小型工作室是巨大負擔。

玩家端更新問題

即使開發者發布修補版本，玩家端的更新速度也是問題：

• 部分玩家關閉自動更新
• 盜版遊戲無法接收官方更新
• 離線遊戲可能長期未更新

這意味著漏洞將在相當長時間內持續存在於大量裝置上。

產業影響與啟示

Unity 生態系統的脆弱性

這次事件暴露 Unity 生態系統的系統性風險：

1. 單點故障：一個引擎漏洞影響數百萬產品
2. 長期潛伏：嚴重漏洞可能存在多年未被發現
3. 修補困難：需要開發者和玩家雙重配合

遊戲產業資安意識提升

過去遊戲產業較少重視資安問題，這次事件可能改變態勢：

• 引擎開發商加強安全審計
• 遊戲發行商要求更嚴格的安全標準
• 玩家對遊戲安全性的關注提升

對其他遊戲引擎的警示

Unreal Engine、Godot 等競爭對手也面臨同樣風險。預計各大引擎開發商將：

• 加強內部安全審查
• 建立漏洞賞金計畫
• 定期發布安全更新

用戶自保建議

對於 Unity 遊戲玩家，建議採取以下措施：

立即行動

1. 啟用自動更新：確保遊戲接收最新修補
2. 檢查遊戲更新：手動檢查常玩遊戲是否有新版本
3. 謹慎點擊連結：避免點擊不明來源的遊戲相關連結

高風險遊戲處理

對於 Microsoft 列出的高風險遊戲：

• 暫時停止遊玩（若擔心安全風險）
• 等待開發商發布官方更新聲明
• 關注官方社群的安全公告

系統層面防護

• 保持作業系統更新：Windows Defender 等防護軟體可能新增偵測
• 使用防毒軟體：增加額外防護層
• 限制 URI handler：進階用戶可考慮限制 URI 方案註冊

後續發展關注重點

短期觀察指標

1. 修補率：熱門遊戲的更新速度
2. 漏洞利用：是否出現實際攻擊案例
3. 平台回應：PlayStation、Xbox 等其他平台的應對措施

長期產業變化

• Unity 的市佔率是否受影響
• 其他引擎是否趁機搶佔市場
• 遊戲產業資安標準是否建立

結論

CVE-2025-59489 不只是一個技術漏洞，更是遊戲產業資安意識的警鐘。

一個潛伏近十年的漏洞，影響數百萬款遊戲，波及數億玩家——這凸顯現代軟體供應鏈的脆弱性。當單一工具或平台成為產業標準，其安全問題將迅速擴散為系統性危機。

對開發者而言，這是立即行動的呼籲；對玩家而言，這是提升資安意識的契機；對產業而言，這是建立更健全安全機制的轉捩點。

隨著 Unity 官方持續推出修補程式，Steam 和 Microsoft 積極應對，這場資安危機的最壞時期或許已過。但真正的考驗在於：產業能否從中學到教訓，建立更完善的預防機制，避免類似事件再次發生。

對於使用 Unity 引擎的開發者和玩家，現在最重要的是：立即更新，立即修補。這不是未來的風險，而是當下的威脅。